Licenciatura en Informtica

Auditoria Informtica

Investigacin Unidad IV.- Evaluacin de la Seguridad

Instituto Tecnolgico de Chetumal

Semestre: 9 A

Chetumal Q, Roo a Noviembre de 2010

Auditoria Informtica

CONTENIDO
RESUMEN .............................................................................................................. 1 INTRODUCCIN .................................................................................................... 2 UNIDAD III. EVALUACIN DE LA SEGURIDAD .................................................... 3 4.1 4.2 4.3 4.4 4.5 4.6 4.7 Generalidades de la seguridad del rea fsica ........................................... 3 Seguridad lgica y confidencial .................................................................. 4 Seguridad personal .................................................................................... 6 Clasificacin de los controles de seguridad ............................................... 7 Seguridad de los datos y software de aplicacin ....................................... 8 Controles para evaluar software de aplicacin ......................................... 10 Controles para prevenir crmenes y fraudes informticos ........................ 12

4.8 Plan de contingencia, seguros, procedimiento de recuperacin de desastres ........................................................................................................... 14 4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del personal ............................................................................................................. 18 4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin........................................................................................ 19 CONCLUSIN ...................................................................................................... 21 BIBLIOGRAFA ..................................................................................................... 22

Instituto Tecnolgico de Chetumal

RESUMEN
Mediante una investigacin se ha obtenido la informacin necesaria para conocer los criterios que se deben de tomar en cuenta para realizar una auditora en la evaluacin de la seguridad, y as conocer que tipos de controles tienen en cuanto a seguridad, tanto lgica como fsica.

Esta investigacin seala un panorama general sobre:

La seguridad lgica La seguridad en los datos y software Los controles de seguridad para software La importancia del tener un plan de contingencias

Auditoria Informtica

Pgina 1

Instituto Tecnolgico de Chetumal

INTRODUCCIN
Hoy en da la tecnologa ha evolucionado y no siempre para bien, pues en grandes empresas se empieza a ver como se han intentado colapsar su seguridad e incluso extraer informacin de estas organizaciones.

Por lo que en esta investigacin se da a conocer la forma en que se tiene que evaluar la seguridad, desde cmo se est llevando la seguridad lgica y si est bien aplicada, hasta se verifica la evaluacin de la seguridad fsica de la misma organizacin.

Se pretende que el alumno conozca la importancia de salvaguardar la integridad de la informacin, conceptualice las polticas, procedimientos

necesarios para la seguridad fsica en un centro de cmputo y que pueda llevar a cabo la aplicacin de estos conocimientos en la realidad.

As tambin el alumno conocer como estn formados los planes de contingencia y sus tcnicas y herramientas de la seguridad en datos.

Auditoria Informtica

Pgina 2

Instituto Tecnolgico de Chetumal

UNIDAD IV. EVALUACIN DE LA SEGURIDAD

4.1 Generalidades de la seguridad del rea fsica

Fuente: Echenique Garca, Jos Antonio, Auditora en Informtica. Mcgraw-Hill, Mxico, 2003.

Durante mucho tiempo se considero que los procedimientos de auditora y seguridad era responsabilidad de la persona que elabora los sistemas, sin considerar que es responsabilidad del rea de informtica en cuanto a la utilizacin que se le da a la informacin y a la forma de accesarla, y del departamento de auditora interna en cuanto a la supervisin y diseo de los controles necesarios.

La seguridad del rea de informtica tiene como objetivos: Proteger la integridad, exactitud y confidencialidad de la informacin Proteger los activos ante desastres provocados por la mano del hombre y de actos hostiles Proteger la organizacin contra situaciones externas como desastres naturales y sabotajes En caso de desastre, contar con los planes y polticas de contingencias para lograr una pronta recuperacin Contar con los seguros necesarios que cubran las prdidas econmicas en caso de desastre

Los motivos de los delitos por computadora normalmente son por: Beneficio personal Beneficios para la organizacin Sndrome de Robn Hood (por beneficiar a otra persona) Auditoria Informtica Pgina 3

Instituto Tecnolgico de Chetumal Jugando a jugar Fcil de desfalcar El individuo tiene problemas financieros La computadora no tiene sentimientos El departamento es deshonesto odio a la organizacin Equivocacin de ego Mentalidad turbada

Se consideran que hay cinco factores que han permitido el incremento de los crmenes por computadora El aumento del nmero de personas que se encuentran estudiando computacin El aumento del nmero de empleados que tienen acceso a los equipos La facilidad en los equipos de cmputo El incremento en la concentracin del nmero de aplicaciones y, consecuentemente, de la informacin

En la actualidad las compaas cuentan con grandes dispositivos para seguridad fsica de las computadoras, y se tiene la idea que los sistemas no puedan ser violados si no se entra en el centro de cmputo, olvidando que se pueden usar terminales y sistemas de teleproceso. 4.2 Seguridad lgica y confidencial

Fuente: Echenique Garca, Jos Antonio, Auditora en Informtica. Mcgraw-Hill, Mxico, 2003.

Se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como controlar

Auditoria Informtica

Pgina 4

Instituto Tecnolgico de Chetumal el mal uso de su informacin. Estos controles reducen el riesgo de caer situaciones adversas. en

La seguridad lgica se encarga de controlar y salvaguardar la informacin generada por los sistemas, por el software de desarrollo y por los programas en aplicacin; identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especifico, e la redes y terminales.

La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin: Cambio de los datos antes o cuando se le da entrada a la computadora Copias de programas y/o informacin Cdigo oculto en un programa Entrada de virus

El tipo de seguridad puede comenzar desde una simple llave de acceso (contraseas) hasta los sistemas ms complicados, pero se debe evaluar que cuanto ms complicados sean los dispositivos de seguridad ms costosos resultan.

Los sistemas de seguridad normalmente no se consideran la posibilidad de fraude cometida por los empleados en el desarrollo de sus funciones.

Un mtodo eficaz para proteger los sistemas de computacin el software de control de acceso. Estos paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a informacin confidencial.

Auditoria Informtica

Pgina 5

Instituto Tecnolgico de Chetumal El sistema integral de seguridad debe comprender: Elementos administrativos Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades

4.3 Seguridad personal

Fuente: Echenique Garca, Jos Antonio, Auditora en Informtica. Mcgraw-Hill, Mxico, 2003.

Uno de los punto ms importantes a considerar para poder definir la seguridad de un sistema es el grado de actuacin que puede tener un usuario dentro de un sistema, ya que la informacin se encuentra en un archivo normal o en una base de datos, o bien que se posea una minicomputadora, o un sistema de red. Para esto podemos definir los siguientes tipos de usuarios: Propietario.- Es el dueo de la informacin y responsable de sta, y puede realizar cualquier funcin Administrador.- Solo puede actualizar o modificar el software con la debida autorizacin Usuario principal.Esta autorizado por el propietario para hacer

modificaciones, cambios, lecturas y utilizacin de los datos, pero no da autorizacin para que otros usuarios entren Usuario de consulta.- Solo puede leer la informacin Usuario de explotacin.- Puede leer la informacin y usarla para explotacin de la misma Usuario de auditora.- Puede usar la informacin y rastrearla dentro del sistema para fines de auditora

Auditoria Informtica

Pgina 6

Instituto Tecnolgico de Chetumal Se recomienda que solo exista un usuario propietario y que el administrador sea una persona designada por la gerencia de informtica.

4.4 Clasificacin de los controles de seguridad Fuente: http://www.gestiopolis.com/administracionestrategia/estrategia/seguridad-y-controles-en-lainterconexion-de-redes.htm.

El gran crecimiento de las redes, interconexiones y telecomunicaciones en general, incluido el uso de Internet de forma casi corriente, ha demostrado que la seguridad fsica no lo es todo. Es un punto que debe complementarse necesariamente con la implementacin de controles para la seguridad lgica de los sistemas y computadoras. Es esa tendencia de interconexin de redes con otras redes, o de una simple PC a Internet la que nos da la pauta de que an si usamos tarjetas electrnicas para acceder a nuestra oficina, hay otras puertas traseras mucho menos evidentes que debemos controlar porque nuestros sistemas estn virtualmente a la espera de que alguien intente utilizarlos.

Los controles: Identificacin y autenticacin de usuarios.- Identificacin es el proceso de distinguir una persona de otra; y autenticacin es validar por algn medio que esa persona es quien dice ser. Los controles biomtricos: o Huellas dactilares o Patrones de la retina o Geometra de la mano o Dinmica de la firma o Patrones de la voz

Auditoria Informtica

Pgina 7

Instituto Tecnolgico de Chetumal Programas de control de acceso.- Programas diseados para administrar los permisos de acceso a los recursos del sistema de informacin. Controles para el software.- Sirven para asegurar la seguridad y confiabilidad del software. Controles para el hardware.- Controles que aseguran la seguridad fsica y el correcto funcionamiento del hardware de cmputo.

4.5 Seguridad de los datos y software de aplicacin

Fuente: Echenique Garca, Jos Antonio, Auditora en Informtica. Mcgraw-Hill, Mxico, 2003. Ruta de acceso

El acceso a la computadora no significa tener una entrada sin restricciones. Limitar el acceso slo a los niveles apropiados puede proporcionar una mayor seguridad. Cada uno de los sistemas de informacin tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema.

Como se ha sealado, un usuario puede pasar por uno o mltiples niveles de seguridad antes de obtener el acceso a los programas y datos. Los tipos de restricciones de acceso son: Slo de lectura Slo de escritura Lectura y consulta Lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar

El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema.

Auditoria Informtica

Pgina 8

Instituto Tecnolgico de Chetumal Software de control de acceso

Este puede ser definido como el software diseado para emitir el manejo de control y acceso a los siguientes recursos. Programas de libreras Archivos de datos Jobs Programas de aplicacin Mdulos de funciones Utileras Diccionario de datos Archivos Programas Comunicacin

Controla el acceso a la informacin, grabando e investigando los eventos realizados y el acceso a los recursos, por medio de identificacin del usuario.

El software de control de acceso tiene las siguientes funciones: Definicin de usuarios Definicin de las funciones del usuario despus de accesar el sistema

El software de seguridad protege los recursos mediante la identificacin de los usuarios autorizados con llaves de acceso, que son archivadas y guardadas por este software.

Algunos paquetes de seguridad pueden ser usados para restringir el acceso a programas, libreras y archivo de datos; otros pueden limitar el uso de terminales o restringir el acceso a base de datos.

Auditoria Informtica

Pgina 9

Instituto Tecnolgico de Chetumal La mayor ventaja del software de seguridad es la capacidad de proteger los recursos de acceso no autorizados, incluyendo los siguientes: Proceso en espera de modificacin por un programa de aplicacin Acceso por los editores en lnea Acceso por utileras de software Acceso a archivos de las base de datos Acceso a terminales o estaciones no autorizadas

Existen otros tipos de software de control de acceso como son los siguientes: Sistemas operativos Manejadores de base de datos Software de consolas o terminales maestras Software de libreras software de utileras Telecomunicaciones

4.6 Controles para evaluar software de aplicacin

Fuente: Echenique Garca, Jos Antonio, Auditora en Informtica. Mcgraw-Hill, Mxico, 2003.

Controles del software de seguridad general Aplican para todos los tipos de software y recursos relacionados y sirven para:

El control de acceso a programas y a la instalacin Vigilar los cambios realizados Controles de acceso a programas y datos Cambios realizados o Diseo y cdigo de modificaciones o Coordinacin de otros cambios o Asignacin de responsabilidades

Auditoria Informtica

Pgina 10

Instituto Tecnolgico de Chetumal o Revisin de estndares y aprobacin o Requerimientos mnimos de prueba o Procedimientos del respaldo en el evento de interrupcin

Controles de software especifico Se presentan algunos de los controles usados por los diferentes tipos de software especfico: El acceso al sistema debe de ser restringido para individuos no autorizados Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no autorizadas logren el acceso Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo especifico de acceso de datos Para asegurar las rutas de acceso deber restringirse el acceso a secciones o tablas de seguridad, mismas que debern ser encriptados

Debern restringirse las modificaciones o cambios al software de control de acceso, y stos debern ser realizados de acuerdo y a procedimientos no autorizados:

Software de sistemas operativos. Controles que incluye: o Los password e identificadores debern ser confidenciales o El acceso al software de sistema operativo deber ser restringido o Los administradores de seguridad debern ser los nicos con autoridad para modificar funciones del sistema

Software manejador de base de datos. Controles que incluye: o El acceso a los archivos de datos deber ser restringido en una vista de datos lgica o Deber controlar el acceso al diccionario de datos o La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software DBMS

Auditoria Informtica

Pgina 11

Instituto Tecnolgico de Chetumal Software de consolas o terminales maestras. Controles que incluye: o Los cambios realizados al software de consolas o terminales maestras debern ser protegidas y controlados Software de libreras. Controles que incluye: o Tiene la facilidad de compara dos versiones de programas en cdigo fuente y reportar las diferencias o Deben limitarse el acceso a programas o datos almacenados por el software de libreras o Las versiones correctas de los programas de produccin deben corresponder a los programas objetos Software de utileras. Controles que incluye: o Debern restringirse el acceso a archivos de utileras o Asegurar que nicamente personal autorizado tenga acceso a corre aplicaciones Software de telecomunicaciones. Controles que incluye: o Controles de acceso a datos sensibles y recursos de la red o El acceso diario al sistema debe ser monitoreado y protegido

4.7 Controles para prevenir crmenes y fraudes informticos

Fuente: http://www.monografias.com

Como hablamos de realizar la evaluacin de la seguridad es importante tambin conocer cmo desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa."

Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad. Auditoria Informtica Pgina 12

Instituto Tecnolgico de Chetumal Sistema Integral de Seguridad

Definir elementos administrativos Definir polticas de seguridad A nivel departamental A nivel institucional Organizar y dividir las responsabilidades Contemplar la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.)

Definir prcticas de seguridad para el personal: Plan de emergencia ( plan de evacuacin, uso de recursos de emergencia como extinguidores.

Nmeros telefnicos de emergencia Definir el tipo de plizas de seguros Definir elementos tcnicos de procedimientos Definir las necesidades de sistemas de seguridad para: Hardware y software Flujo de energa Cableados locales y externos Aplicacin de los sistemas de seguridad incluyendo datos y archivos Planificacin de los papeles de los auditores internos y externos Planificacin de programas de desastre y sus pruebas (simulacin) Planificacin de equipos de contingencia con carcter peridico Control de desechos de los nodos importantes del sistema: Poltica de destruccin de basura copias, fotocopias, etc.

Etapas para Implementar un Sistema de Seguridad

Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos:

Auditoria Informtica

Pgina 13

Instituto Tecnolgico de Chetumal

Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad.

Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales.

Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:

Plan de Seguridad Ideal (o Normativo)

Un plan de seguridad para un sistema de seguridad integral debe contemplar:

El plan de seguridad debe asegurar la integridad y exactitud de los datos Debe permitir identificar la informacin que es confidencial Debe contemplar reas de uso exclusivo Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles

Debe asegurar la capacidad de la organizacin para sobrevivir accidentes Debe proteger a los empleados contra tentaciones o sospechas innecesarias

Debe contemplar la administracin contra acusaciones por imprudencia

4.8 Plan de contingencia, seguros, procedimiento de recuperacin de desastres Fuente: Echenique Garca, Jos Antonio, Auditora en Informtica. Mcgraw-Hill, Mxico, 2003. Plan de contingencias

El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la organizacin de requerimientos para su recuperacin ante desastres.

Auditoria Informtica

Pgina 14

Instituto Tecnolgico de Chetumal La metodologa tiene como finalidad conducir de la manera ms efectiva un plan de recuperacin ante una contingencia sufrida por la organizacin.

El plan de contingencia es definido como: la identificacin y proteccin de los procesos crticos de la organizacin y los recursos requeridos para mantener un aceptable nivel de transacciones y de ejecucin, protegiendo estos recursos y preparando procedimientos para asegurar la sobrevivencia de la organizacin en caso de desastre

Entre los objetivos del plan de contingencia se encuentran: Minimizar el impacto del desastre en la organizacin. Establecer tareas para evaluar los procesos indispensables de la organizacin. Evaluar los procesos de la organizacin, con el apoyo y autorizacin respectivos a travs de una buena metodologa. Determinar el costo del plan de recuperacin, incluyendo la capacitacin y la organizacin para restablecer los procesos crticos de la organizacin cuando ocurra una interrupcin de las operaciones. Seguridad contara desastres provocada por agua

Los centros de cmputo no deben colocarse en stanos o en reas de planta baja, sino de preferencia en las partes altas de una estructura de varios pisos aunque hay que cuidar que en zonas ssmicas no queden en lugares donde o peso ocasionado por equipos o papel pueda provocar problemas.

Se debe evaluar la mejor opcin, dependiendo de la seguridad de acceso al centro de cmputo, cuando en la zona existen problemas de inundaciones o son ssmicas. En caso de ser zona de inundaciones o con problemas de drenaje la mejor opcin es colocar el centro de cmputo en reas donde el riesgo de inundacin no sea evidente. Auditoria Informtica Pgina 15

Instituto Tecnolgico de Chetumal Algunas causas de esto pueden ser la ruptura de caeras o el bloqueo del drenaje, por lo tanto, la ubicacin de las caeras en un centro de cmputo es una decisin importante, as como considerar el nivel del manto fretico.

Debe considerarse el riesgo que representa el drenaje cuando el centro de cmputo se localiza en un stano. Deben instalarse, si es el caso, detectores de agua o inundacin, as como bombas de emergencia para resolver inundaciones inesperadas.

Otro de los cuidados que se deben tener para evitar daos por agua es poseer aspersores contra incendio especiales que no sean de agua.

Seguridad de autorizacin de acceso

Es importante asegurarse que los controles de acceso sean estrictos durante todo el da, y que stos incluyan a todo el personal de la organizacin, en especial durante los descansos y cambios de turno.

El personal de informtica, as como cualquier otro ajeno a la instalacin, se debe identificar antes de entrar a sta. El riesgo que proviene de alguien de la organizacin es tan grande como el de cualquier otro visitante. Solamente el personal autorizado por medio de una llave de acceso o por la gerencia debe ingresar a dichas instalaciones.

En los centros de cmputo se pueden utilizar los siguientes recursos: Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe ser difcil de duplicar. Puerta de combinacin. En este sistema se usa una combinacin de nmeros para permitir el acceso. Puerta electrnica. El sistema ms comn es el que usa una tarjeta de plstico magntica como llave de entrada. Auditoria Informtica Pgina 16

Instituto Tecnolgico de Chetumal Puertas sensoriales. Son activadas por los propios individuos con alguna parte de su cuerpo, como puede ser la huella dactilar, voz, retina, geometra de la mano o bien por la firma. Registros de entrada. Todos los visitantes deben firmar el registro de visitantes indicando su nombre, su compaa, la razn para la visita, la persona a la que visita. Videocmaras. stas deben ser colocadas en puntos estratgicos para que se pueda monitorear el centro Escolta controladora para el acceso de visitantes. Todos los visitantes deben ser acompaados por un empleado responsable Puertas dobles. Este equipo es recomendable para lugares de alta seguridad: se trata de dos puertas, donde la segunda slo se pueda abrir cuando la primera est cerrada. Alarmas. Todas las reas deben estar protegidas contra robo o accesos fsicos no autorizados. Las alarmas contra robo deben ser usadas hasta donde sea posible en forma discreta, de manera que no se atraiga la atencin hacia este dispositivo de alta seguridad

Seguros

Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino, aunque son de gran importancia. Se tiene poco conocimiento de los riesgos que entraa la computacin, ya que en ocasiones el riesgo no es claro para las compaas de seguros, debido a lo nuevo de la herramienta, a la poca experiencia existente sobre desastres y al rpido avance de la tecnologa.

Como ejemplo de lo anterior tenemos las plizas de seguros contra desastres, ya que algunos conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual hace que se duplique el seguro, o bien que sobrevengan desastres que no son normales en cualquier otro tipo de ambiente.

Auditoria Informtica

Pgina 17

Instituto Tecnolgico de Chetumal El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas (existe equipo que puede ser transportado, como computadoras personales, y otras que no se pueden mover, como unidades de disco duro), por lo que tal vez convenga tener dos o ms plizas por separado, cada una con las especificaciones necesarias.

Como ejemplo y en forma genrica, por lo comn un seguro de equipo de cmputo considera lo siguiente: Bienes que se pueden amparar. Riesgos cubiertos. Riesgos excluidos Exclusiones Suma asegurada. Primas, cuotas y deducibles. Indemnizacin en caso de siniestro.

4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del personal Fuente: Echenique Garca, Jos Antonio, Auditora en Informtica. Mcgraw-Hill, Mxico, 2003.

Proteccin a los procedimientos de procesamiento y los equipos contra las intervenciones exteriores:

Slo se debe permitir al personal autorizado que maneje los equipos de procesamiento. Slo se permitir la entrada al personal autorizado y competente Seleccionar al personal mediante la aplicacin de exmenes integrales: mdico, psicolgico, aptitudes, etc. Contratar personal que viva en zonas cercanas a la empresa. Pgina 18

Auditoria Informtica

Instituto Tecnolgico de Chetumal Acondicionar los locales, de acuerdo con las normas de seguridad. Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la manera de evitarlos. Practicar con periodicidad exmenes mdicos al personal Sostener plticas informales, directas e individuales con el personal. Instalar carteles y propaganda mural referentes a la seguridad. Elaborar estadsticas sobre riesgos ocurridos y derivar de ellas las medidas concretas adoptables para evitar su repeticin. Enterar al personal sobre dichas estadsticas y las medidas adoptadas. Proponer otras actividades que se consideren necesarias.

4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin Fuente:http://www.mitecnologico.com/Main/Tacnic asYHerramientasRelacionadasConSeguridadDeD atosYSoftwareDeAplicacion.

Proteccin de los registros y de los archivos Formas en que se pueden perder los archivos: o Su presencia en un ambiente destructivo. o Manejo indebido por parte del operador. o Mal funcionamiento de la mquina. Plan de preservacin o Documentos fuente: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado. o Archivo de discos: Una caracterstica del archivo de discos es que el registro anterior es destruido, no produce una copia

automticamente una copia en duplicado. o Vaciado a otros medios: Esto puede ser vaciado a otros discos, o a papel de impresin. Auditoria Informtica Pgina 19

Instituto Tecnolgico de Chetumal Objetivos de la auditora del software de aplicacin o Verificar la presencia de procedimientos y controles. Para satisfacer: La instalacin del software La operacin y seguridad del software La administracin del software

Detectar el grado de confiabilidad. o Grado de confianza, satisfaccin y desempeo o Investigar si existen polticas con relacin al software o Detectar si existen controles de seguridad o Verificar que sea software legalizado o Actualizacin del software de aplicacin

Tipos de controles. o Control de distribucin. o Validacin de datos. o Totales de control. o Control de secuencia. o Pruebas de consistencia y verosimilitud. o Dgito de control. o Control de distribucin

Auditoria Informtica

Pgina 20

Instituto Tecnolgico de Chetumal

CONCLUSIN
Al concluir esta investigacin se comprendi cmo funciona la evaluacin de la seguridad y los puntos que abarca este tema, as tambin como lo que es auditor deben hacer en cada caso.

Se profundizo sobre cul es la informacin que el auditor requiere para realizar este trabajo y con qu tcnicas y herramientas la organizacin protege su informacin, que controles se realizan al evaluar la seguridad del software de aplicacin, y los generales.

Al igual se menciona como se realiza la seguridad del personal y que usuarios tiene ms permisos que otros para manipular la informacin, as como la seguridad contra desastres y los seguros de los equipos en caso de un desastre natural.

Auditoria Informtica

Pgina 21

Instituto Tecnolgico de Chetumal

BIBLIOGRAFA
www.mitecnologico.com/Main/TacnicasYHerramientasRelacionadasConS eguridadDeDatosYSoftwareDeAplicacion. Echenique Garca, Jos Antonio, Auditora en Informtica. Mcgraw-Hill, Mxico, 2003. http://www.gestiopolis.com/administracionestrategia/estrategia/seguridad-y-controles-en-la-interconexion-deredes.htm.

Auditoria Informtica

Pgina 22