TRABAJO DE

INVESTIGACION
ALEX ROB

OSCAR ALEJANDRO ROBLES DURAN

ITI101

Planeacin de la auditoria.
Evaluacin de la Seguridad.

UNIVERSIDAD TECNOLOGICA DE
PARRAL
INGENIERIA EN TECNOLOGIAS DE LA
INFORMACION
ALUMNO: ROBLES DURAN OSCAR
ALEJANDRO
MATERIA: AUDITORIA DE SISTEMAS TI
MAESTRO: Ing. Cesar Villalobos

Planeacin De La Auditoria Informtica

La funcin de Auditora Con el fin de que esta Informtica debe funcin se evale
segn generar, como todas las su desempeo, con reas del negocio, un
parmetros tangibles y plan de proyectos que mesurables justifique el trabajo
durante cierto periodo
Alta direccin: Seguimiento a proyectos informticos. Verificacin y aseguramiento
del cumplimiento de polticas Auditora: Apoyo a la auditora financiera
(polticas, controles y procedimientos). Capacitacin para auditores (en software y
hardware). Informtica: Polticas, controles, procedimientos y estndares
(referentes a informtica), nueva tecnologa, desarrollo e implantacin de
soluciones.
Consiste en determinar las estrategias y cursos de accin del Plan de negocio
negocio Se establece mediante entrevistas y anlisis detallado de cada proceso
bsico de la organizacin.

Normas y estndares en proyectos de TI

Estndar

Es un conjunto de reglas que deben cumplir los productos, procedimientos o

investigaciones que afirmen ser compatibles con el mismo producto. Los
estndares ofrecen muchos beneficios, reduciendo las diferencias entre los
productos y generando un ambiente de estabilidad, madurez y calidad en beneficio
de consumidores e inversores. Los esfuerzos que se estn realizando y los ya
realizados han perseguido distintos objetivos que van desde la definicin de
API(Interface de Programacin de Aplicaciones), los formatos de los ficheros con
la informacin de parmetros biomtricos, la encriptacin de la informacin
biomtrica, la interaccin entre dispositivos biomtricos diferentes, etc.

Normas

Son reglas de conductas que nos imponen un determinado modo de obrar o de

abstenernos. Las normas pueden ser establecidas desde el propio individuo que
se las auto impone, y en este caso son llamadas normas autnomas, como
sucede con las ticas o morales. As, una persona ayuda a un necesitado porque

se lo ordena su propia conciencia, y cuyo castigo tambin es personal, y est dado

por el remordimiento.

Una norma es una regla que debe ser respetada y que permite ajustar ciertas
conductas o actividades. Las normas se enfocan ms en los procesos por los que
tienen que pasar los productos y los estndares especifican la calidad con la que
debe contar los productos.
Fases de la Auditoria Informtica.
Fase I: Conocimientos del Sistema
Aspectos Legales y Polticas Internas: Sobre estos elementos est construido el
sistema de control y por lo tanto constituyen el marco de referencia para su
evaluacin.
Caractersticas del Sistema Operativo: Organigrama del rea que participa en el
sistema, Informes de auditora realizadas anteriormente
Caractersticas de la aplicacin de computadora: Manual tcnico de la aplicacin
del sistema, Equipos utilizados en la aplicacin de computadora

Fase 2: Anlisis de las transacciones

Definicin de las transacciones.
Establecer el flujo de los documentos
Identificar y codificar los recursos que participan en los sistemas
Relacin entre transacciones y recursos

Fase III: Anlisis de riesgos y amenazas

Identificacin de riesgos
Identificacin de las amenazas
Relacin entre recursos/amenazas/riesgos

Fase IV: Anlisis de controles

Codificacin de controles

Relacin entre recursos/amenazas/riesgos

Anlisis de cobertura de los controles requeridos

Fase V: Evaluacin de Controles

Objetivos de la evaluacin
Plan de pruebas de los controles
Pruebas de controles
Anlisis de resultados de las pruebas

Fase VI: Informe de Auditoria

Informe detallado de recomendaciones
Evaluacin de las respuestas
Informe resumen para la alta gerencia

Fase VII: Seguimiento de Recomendaciones

Informes del seguimiento
Evaluacin de los controles implantados

Elementos de la planeacin de la auditoria informtica

Definir el concepto de lista de verificacin

La lista de verificacin, como su nombre lo dice, es la enumeracin de una serie
de pasos o requisitos a cumplir para realizar un determinado proceso, como si
fuera una lista que se hace antes del supermercado para evitar olvidar algo.
Pero adems de enumerar, esta herramienta tambin lleva una secuencia lgica
en los requisitos, de tal forma que nos ayuda a recorrer el camino en menos
tiempo.
La memoria es una excelente ayuda para todos, pero es una realidad que bajo
presiones de tiempo y estrs, podemos olvidar cosas sencillas o aun de sentido
comn. En estos casos, una lista de verificacin es un apoyo ideal para recordar lo
importante.
Cmo elaborarla?
Piense en algn proceso que le ha causado problemas en el pasado. Por ejemplo,
supongamos que ya van varias veces que estando formado en la fila del
Verificentro, se da cuenta que no tiene el certificado anterior, lo que lo obliga a salir
de la fila, desperdiciando el tiempo invertido en la espera, para evitar ello, puede

elaborar una sencilla lista que contenga todos los puntos que debe revisar antes
de aceptar un auto para llevarlo a verificar.
Identificar los modelos de seguridad
Un Modelo de Seguridad de la Informacin es un diseo formal que promueve
consistentes y efectivos mecanismos para la definicin e implementacin de
controles. Los componentes deben estar dirigidos a identificar los niveles de riesgo
presentes y las acciones que se deben implementar para reducirlos.
Se debe contar con un plan de concientizacin adecuadamente estructurado para
la creacin de la cultura de seguridad en la organizacin. La seguridad de la
informacin es tan buena como el nivel de entendimiento y capacitacin que el
personal tengan de los riesgos reales y las formas de proteccin. Tambin se
deben utilizar los recursos tecnolgicos necesarios como soporte para un
adecuado respaldo de las polticas.
Las polticas, proporcionan la fuente de instrucciones ms importante y ms
frecuentemente referenciada que detalla cmo los trabajadores pueden proteger
tanto la informacin como los sistemas que la contienen.
Las mejores herramientas de seguridad son vulnerables si no existen polticas
adecuadas que definan claramente su utilizacin. Ya que para que estas
herramientas funcionen al mximo, debemos asegurar con claves y contraseas el
acceso al sistema a cierto personal, de tal forma que se limiten a utilizar los
archivos que necesiten para desarrollar sus funciones diarias y permitir as que las
herramientas hagan su funcin con xito.
El equipo de trabajo y todo el personal que maneja informacin importante y
confidencial, debe estar altamente capacitado. Adems de estar informados y
consientes que cualquier fuga de informacin puede ser muy grave para la
compaa o empresa.
Aumenta la probabilidad de que las cosas se harn de manera correcta la primera
vez. Coordinar actividades de grupos internos y externos (Otras organizaciones).
Costos ms bajos mediante la normalizacin de los controles. Cumplir con las
obligaciones contractuales y responsabilidades legales. Muestran a la gerencia los
verdaderos requerimientos de seguridad.
Las reas que puede cubrir la auditoria de la seguridad son:

Controles directivos (fundamentos de la seguridad)

Medida de desarrollo
Verificacin de ajustes a la legalidad
Amenazas fsicas externas
Control de acceso adecuado
Proteccin de datos
Comunicaciones y redes
rea de produccin
Desarrollo de aplicaciones en un entorno seguro
La continuidad de las operaciones

Fases de una auditora

Los servicios de auditora constan de las siguientes fases:

Enumeracin de redes, topologas y protocolos

Verificacin del Cumplimiento de los estndares internacionales. ISO, COBIT, etc.
Identificacin de los sistemas operativos instalados
Anlisis de servicios y aplicaciones
Deteccin, comprobacin y evaluacin de vulnerabilidades
Medidas especficas de correccin
Recomendaciones sobre implantacin de medidas preventivas.
AUDITORA DE SEGURIDAD FSICA CARACTERSTICAS DEL SERVICIO
La metodologa seguida por Internet Security Auditors para el desarrollo de las
Auditoras de Seguridad Fsica tiene como objetivo permitir la revisin exhaustiva
de los aspectos de seguridad de las infraestructuras fsicas de la empresa,
cubriendo, entre otros, los siguientes aspectos:
Acondicionamiento. Revisin de las caractersticas de construccin y
componentes de edificacin e instalaciones del recinto con la revisin y
actualizacin de planos de elementos principales, dimensiones y ubicacin;
suelos, techos y estado general de las instalaciones tcnicas, etc.

Sistemas anti intrusin Revisin de los sistemas que impiden y/o detectan un
acceso no autorizado a las instalaciones como la ubicacin de los elementos de
vigilancia y control de presencia, su proteccin del sistema y tolerancia a fallos;
revisin de los procedimientos de tratamiento y respuesta a alarmas, etc.
Sistemas de grabacin y vigilancia. Revisin de todos los componentes que
garantizan la grabacin de la actividad dentro de las zonas de acceso restringido o
de seguridad, etc.
Instalacin elctrica, SAIs y generadores. Revisin del sistema de suministro
elctrico y su resistencia estudiando el esquema de suministro elctrico hasta el
propio CPD, cobertura, anlisis de los cableados, etc.
Cableado Estructurado. Revisin del estado del sistema de cableado estructurado
as como el contenido de los diferentes bastidores (telefona, servidores,
comunicaciones de datos...), etc.
Control ambiental. Revisin de las condiciones ambientales del CPD y que estas
no supongan un propio riesgo para el funcionamiento de los sistemas alojados,
instalaciones y faciliten su propio mantenimiento en referencia a ventilacin,
temperatura, humedad, agua, humos, detectores ssmicos, etc.: equipos de
deteccin y/o medicin de estos parmetros, etc.
Si tiene cualquier consulta sobre los detalles del mbito de la Auditora de
Seguridad Fsica contacte con nosotros.

Planificacin de Contingencia
El Plan est orientado a establecer, junto con otros trabajos de seguridad, un
adecuado sistema de seguridad fsica y lgica en previsin de desastres.
Se define la Seguridad de Datos como un conjunto de medidas destinadas a
salvaguardar la informacin contra los daos producidos por hechos naturales o
por el hombre. Se ha considerado que para la compaa, la seguridad es un
elemento bsico para garantizar su supervivencia y entregar el mejor Servicio a
sus Clientes, y por lo tanto, considera a la Informacin como uno de los activos
ms importantes de la Organizacin, lo cual hace que la proteccin de esta sea el
fundamento ms importante de este Plan de Contingencia.
En este documento se resalta la necesidad de contar con estrategias que permitan
realizar: Anlisis de Riesgos, de Prevencin, de Emergencia, de Respaldo y
recuperacin para enfrentar algn desastre. Por lo cual, se debe tomar como Gua
para la definicin de los procedimientos de seguridad de la Informacin que cada
Departamento de la firma debe definir.