TRABAJO FINAL ASIC.pdf
-
Upload
eg-gonzalez -
Category
Documents
-
view
29 -
download
0
Transcript of TRABAJO FINAL ASIC.pdf
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
FACULTAD DE INGENIERIA Y
FACULTAD DE CIENCIAS ECONMICAS
CATEDRTICO:
LIC. MARIO ALFREDO GUEVARA AGUILAR
PROCESO DE IMPLEMENTACIN Y
CERTIFICACION DE LA NORMA ISO 27000
CTEDRA
AUDITORIA DE SISTEMAS COMPUTACIONALES
GRUPO: 01
INTEGRANTES:
DURAN TREJO, DAVID ALFREDO DT200109
GUTIRREZ GONZLEZ, ERIKA GUADALUPE GG200105
MENDOZA, TERESA FABIOLA MM200105
VANEGAS, KEVIN ROLANDO VC200109
ENTREGA: DICIEMBRE 4 DE 2013
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina II
Contenido Introduccin ....................................................................................................................................... VI
Objetivos ......................................................................................................................................... - 1 -
Objetivo General ......................................................................................................................... - 1 -
Objetivos Especficos ................................................................................................................... - 1 -
Alcances Y Limitaciones................................................................................................................... - 2 -
Alcances ....................................................................................................................................... - 2 -
Limitaciones ................................................................................................................................ - 2 -
Captulo I: Seguridad Informtica ................................................................................................... - 3 -
1.1 Introduccin Seguridad Informtica ..................................................................................... - 3 -
1.2 Seguridad Ambiental ............................................................................................................. - 5 -
1.2.1 Terremotos ..................................................................................................................... - 5 -
1.2.2 Inundaciones ................................................................................................................. - 6 -
1.2.3 Fuegos (incendios) .......................................................................................................... - 6 -
1.2.4 Tormentas elctricas ...................................................................................................... - 7 -
1.2.5 Picos de tensin ............................................................................................................. - 7 -
1.2.6 Back Up ........................................................................................................................... - 8 -
1.3 Seguridad Lgica ................................................................................................................... - 8 -
1.3.1 Controles de acceso al sistema ...................................................................................... - 9 -
1.3.2 Niveles de seguridad informtica ................................................................................. - 11 -
1.4 Seguridad Fsica ................................................................................................................... - 13 -
1.4.1 Acceso fsico al sistema ................................................................................................ - 14 -
1.5 Sistemas De Seguridad ........................................................................................................ - 15 -
1.5.1 Autentificacin del personal ........................................................................................ - 15 -
1.5.2 Para qu sirve identificarse? ...................................................................................... - 15 -
1.5.3 Por qu estaran interesados en destruir o robar datos de la entidad? .................... - 15 -
1.5.4 Quines estaran interesados en destruir o robar datos de la entidad? .................... - 16 -
Hackers: ............................................................................................................................. - 16 -
Crackers: ............................................................................................................................ - 16 -
Empleados de la misma entidad ....................................................................................... - 16 -
Compaas competidoras .................................................................................................. - 17 -
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina III
Por lo que se tiene ............................................................................................................. - 17 -
Tarjetas magnticas .......................................................................................................... - 17 -
Tarjetas electrnicas ......................................................................................................... - 18 -
Por lo que se sabe ............................................................................................................. - 19 -
Contraseas ....................................................................................................................... - 19 -
Consejos a la hora de elegir contraseas .......................................................................... - 20 -
Como proteger una contrasea ........................................................................................ - 21 -
Por lo que es (Biometra)................................................................................................... - 22 -
Criptografa ........................................................................................................................ - 24 -
Capitulo II: Auditoria Informtica .................................................................................................. - 25 -
2.1 Qu es una auditora? ....................................................................................................... - 25 -
2.2 Etapas de la auditora general ............................................................................................. - 25 -
2.2.1 Estudio General: ........................................................................................................... - 25 -
2.2.2 Las condiciones Econmicas y del Sector de la Empresa. ............................................ - 26 -
2.2.3 La estructura de dicha Organizacin ............................................................................ - 26 -
2.2.4 Su estructura Legal y Operaciones. .............................................................................. - 26 -
2.2.5 Ejecucin de la Auditora .............................................................................................. - 27 -
2.2.6 Informe Final ................................................................................................................ - 28 -
2.3 Cundo realizar una Auditora y por qu?......................................................................... - 28 -
2.3.1 Razones Externas.......................................................................................................... - 28 -
2.3.2 Razones internoexternas ............................................................................................ - 29 -
2.3.3 Auditor informtico ...................................................................................................... - 30 -
2.3.4 Auditoria informtica ................................................................................................... - 32 -
2.3.5 Pruebas en la auditora ................................................................................................ - 32 -
2.4 Cundo realizar la auditora? ............................................................................................ - 32 -
2.5 Objetivo de la auditora informtica ................................................................................... - 33 -
Capitulo III: Qu Es Una ISO/IEC? ................................................................................................ - 35 -
3.1 Introduccin ........................................................................................................................ - 35 -
3.2 IEC ........................................................................................................................................ - 36 -
3.2.1 Historia ......................................................................................................................... - 36 -
3.2.2 Visin ............................................................................................................................ - 36 -
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina IV
3.2.3 Misin ........................................................................................................................... - 36 -
3.2.4 Importancia del mercado ............................................................................................. - 37 -
3.2.5 El IEC como una herramienta estratgica. ................................................................... - 38 -
3.2.6 Alcance mundial ........................................................................................................... - 39 -
3.2.7 Innovacin y valor aadido .......................................................................................... - 40 -
3.2.8 Mejora y sostenimiento ............................................................................................... - 40 -
3.3 ISO ....................................................................................................................................... - 42 -
3.3.1 Historia ......................................................................................................................... - 42 -
3.3.2 Quin trabaja en ISO? ................................................................................................. - 43 -
3.3.3 Plan estratgico 20052010 de la ISO .......................................................................... - 43 -
Prlogo .............................................................................................................................. - 43 -
Visin global de la ISO en 2010 ......................................................................................... - 44 -
Objetivos de la ISO para el 2010 ....................................................................................... - 45 -
3.4 ISO/IEC JTC1 ........................................................................................................................ - 47 -
3.4.2 Repercusiones de sus puntos dbiles .......................................................................... - 51 -
3.4.3 Posibles soluciones ....................................................................................................... - 51 -
3.4.4 Preparacin para la implementacin de las normativas en una entidad .................... - 52 -
Cultura madura ................................................................................................................. - 52 -
Cultura inmadura .............................................................................................................. - 53 -
Diferencias de gerencias (respecto a la cultura inmadura y la madura) ........................... - 54 -
Condiciones para la implementacin de una normativa llegue a buen puerto. ............... - 55 -
Problemas que surgen en la implantacin de la normativa .............................................. - 58 -
3.5 ISO/IEC 27004 ...................................................................................................................... - 60 -
3.5.1 Introduccin ................................................................................................................. - 60 -
3.5.2 El porqu de la ISO 27001? ........................................................................................ - 62 -
Las mediciones .................................................................................................................. - 64 -
Modelo de las mediciones ................................................................................................ - 65 -
Mtodo de las mediciones ................................................................................................ - 67 -
Seleccin y definicin de las mediciones. ......................................................................... - 68 -
Plan-Do-Check-Act (PDCA) ................................................................................................ - 71 -
3.5.3 Cuadro de mando ......................................................................................................... - 75 -
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina V
Qu es un cuadro de mando? ......................................................................................... - 75 -
Cmo implantar un cuadro de mando correcto en una entidad? .................................. - 76 -
Capitulo IV: Proceso de Implementacin y Certificacin de la Norma ISO 27000 ........................ - 79 -
4.1 Implantacin del SGSI.......................................................................................................... - 79 -
Empresas que certifican en la ISO 27001. ..................................................................................... - 88 -
AENOR.. ............................................................................................................................. - 88 -
Informacin para certificar con AENOR. ............................................................................... - 89 -
Parte legal para certificacin con AENOR. ............................................................................ - 94 -
Conclusin ................................................................................................................................... - 101 -
Recomendaciones ....................................................................................................................... - 102 -
Bibliografa .................................................................................................................................. - 103 -
Anexos ......................................................................................................................................... - 104 -
Anexo 1: Reglamento Particular De Certificacin De Sistemas De Gestin De Seguridad De La
Informacin RP-CSG-08.00 ...................................................................................................... - 104 -
Anexo 2: Solicitud de Certificacin .......................................................................................... - 107 -
Anexo 3: Preguntas y respuestas frecuentes sobre Certificacin de la ISO. ........................... - 115 -
1. Norma ISO 27001 ............................................................................................................ - 115 -
2. SGSI .................................................................................................................................. - 124 -
3. Certificaciones ................................................................................................................. - 128 -
Apndices .................................................................................................................................... - 132 -
Apndice A: ............................................................................................................................. - 132 -
Apndice B: ............................................................................................................................. - 133 -
Glosario ....................................................................................................................................... - 134 -
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina VI
Introduccin
Cada da la tecnologa va tomando parte del diario vivir, debido a las alternativas
diversas que ella nos ofrece. Dentro de las nuevas tecnologas es necesario
contar con mtodos de legalidad y como instrumento para que los procesos o
actividades que se desarrollen sean avalados no solo por la alta gerencia sino
tambin por instituciones internacionales.
Como bien se conocen la gran gama de ISO, que existen actualmente para cada
actividad dentro de una empresa.
Dentro de las cuales tomaremos; La serie de normas ISO/IEC 27000 las cuales
son estndares de seguridad publicados por la Organizacin Internacional para la
Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC).
Esta serie contiene las mejores prcticas recomendadas en Seguridad de la
informacin para desarrollar, implementar y mantener Especificaciones para los
Sistemas de Gestin de la Seguridad de la Informacin (SGSI). La mayora de
estas normas se encuentran en preparacin.
Dentro del desarrollo de este contenido mencionaremos ms de lo que trata su
implementacin y todas las caractersticas y patrones con que la empresa debe
cumplir.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 1 -
Objetivos
Objetivo General
Conocer el proceso de implementacin y certificacin de la ISO 27000 en
las empresas, en el rea de seguridad informtica.
Objetivos Especficos
Proporcionar a las empresas los lineamientos ms detallados de los
procesos que se deben cumplir, para la implementacin de la norma ISO
27000.
Conocer ms a fondo los beneficios y garantas que ofrece esta ISO.
Detallar los aspectos que la empresa debe tener para optar por su
implementacin.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 2 -
Alcances Y Limitaciones
Alcances
Dar a conocer un mejor entendimiento de los procesos por medio de las
partes interesadas en su Implementacin.
Proporcionar las ventajas de poseer un mecanismo de seguridad
informtica.
Limitaciones
Conocimiento prctico limitado en nuestro mbito.
Incomprensin por constantes actualizaciones y aplicaciones nuevas dentro
de la ISO 27000.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 3 -
Captulo I: Seguridad Informtica
1.1 Introduccin Seguridad Informtica
Cuando hablamos de seguridad se piensa que es una especie de clase donde el
equipo informtico est libre de cualquier tipo de ataque que pueda ocasionar
daos tanto a la infraestructura de una empresa o entidad que puede provocar en
el peor de los casos la prdida de la informacin necesaria para la empresa.
Se podra imaginar bancos en los cuales se pierda la informacin de cuentas
corrientes, aseguradoras que pierden clientes, hospitales en los cuales se pierdan
registros de pacientes, y todo ello por no tener un mnimo de seguridad? Si eso
llegase a ocurrir el mundo sera un completo caos a nivel global.
Por tanto para que un sistema pueda estar seguro debe de tener las siguientes
principales caractersticas las cuales son esenciales para tener seguridad ante
posibles errores o ataques que puedan surgir:
Confidencialidad: Con esta caracterstica se consigue que la informacin que se
est salvaguardando slo pueda ser legible por parte de los usuarios autorizados
e impidiendo que sea legible por terceros.
No Repudio: Consiste en que si dicha informacin es modificada o simplemente
ha sido legible por parte de los usuarios autorizados quedar registrado,
obteniendo as que el usuario autorizado no podr negar dicho uso, debido a dicho
registro
Integridad: La informacin que se est salvaguardando solo podr ser modificada
por usuarios autorizados.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 4 -
Disponibilidad: Debe de estar presente en cualquier momento para la utilizacin
de los usuarios.
Adems de estas caractersticas se puede decir que no existe la seguridad total,
ya que es una utopa, simplemente lo que se puede hacer es reducir los posibles
errores que tenga la seguridad, nadie ni nada garantiza la seguridad total, solo se
puede saber si la seguridad es alta, media o baja, pero no garantiza que puedan
existir huecos por los cuales pueda peligrar la informacin de la entidad.
La informacin es el centro de poder de la mayora de entidades, como por
ejemplo los bancos, no existe el dinero fsico, disminuyen los registros en papel, o
por ejemplo las fichas fsicas de los historiales de los pacientes de cualquier
hospital estn siendo transferidas a bases de datos, toda la informacin est
centralizada y tiene un grandsimo valor, al fin al cabo, es lo que aparece en las
pantallas de los ordenadores, son datos, son informacin y sin ella no se tiene
absolutamente nada. Por tanto quien controle dicha informacin podr controlar
aquello que representa. Hay que destacar que dicha informacin que se tiene
puede ser robada, modificada y usada en beneficio propio, son estas cosas por las
cuales la informacin debe de estar asegurada de que nunca salga de la entidad y
caiga en manos ajenas.
Al fin al cabo la informacin es poder. Y por tanto es crtica para la entidad ya que
a partir de ella se toman decisiones a corto, medio y largo plazo, debe de ser
conocida solo por las personas autorizadas de la entidad y por ltimo es
totalmente importante ya que es el activo de la empresa, es decir lo es todo.
Adems la seguridad de la informacin se expande desde la identificacin de
problemas, confidencialidad, integridad, comunicacin, anlisis de riesgos hasta la
recuperacin de dichos riesgos.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 5 -
La seguridad de la informacin tiene como objetivo la proteccin de los datos y de
los sistemas de informacin de su uso y acceso, que va desde su interrupcin,
destruccin no autorizada, corrupcin o su divulgacin.
1.2 Seguridad Ambiental
Cuando se habla de seguridad ambiental se refiere a los procedimientos,
procesos y controles con el fin de controlar los efectos de la naturaleza, los cuales
pueden daar seriamente a los equipos informticos, personal de la entidad y lo
ms importante los datos de la empresa. Estos efectos de la naturaleza pueden
ser: terremotos, inundaciones, fuegos, tormentas elctricas, picos de tensin, etc.;
1.2.1 Terremotos
Los terremotos o sismos son una serie de sacudidas del terreno debido al choque
entre las placas tectnicas y tambin a la liberacin de energa en el curso de una
reorganizacin brusca de los materiales de la corteza terrestre debido a superar el
estado de equilibrio mecnico.
Respecto a la hora de invertir en estas medidas, depende mucho de la situacin
geogrfica de la entidad, por ejemplo, si se estuviera en un pas como Japn
donde los terremotos estn a la orden del da sera totalmente necesaria y
fundamental dicha inversin, pero si fuese como en el caso de Espaa, donde
nunca se da ningn terremoto importante ya que sus posibilidades son mnimas,
dichas inversiones sern menores.
En este caso se recomienda no situar los equipos o sistemas informticos cerca
de las ventanas o en superficies altas por miedo de sus posibles cadas, se
recomienda el uso de fijaciones. Por supuesto tampoco se debe colocar objetos
pesados encima de los equipos por miedo a provocar daos en dichos equipos.
Tambin se recomienda el uso de plataformas de goma las cuales absorben parte
de las vibraciones generadas por los terremotos, adems del uso de mesas anti
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 6 -
vibraciones ya que sin ellas podran daar los discos duros donde se guarda la
informacin vital.
1.2.2 Inundaciones
Las inundaciones consisten en la ocupacin del agua en zonas que estn libres de
ella, esto es debido por el desbordamiento de ros, subida de mareas, o por
avalanchas causadas por maremotos.
Estos problemas son graves ya que son los que ms dao hacen a la entidad, ya
que cualquier sistema elctrico en contacto con el agua, puede ser mortal para los
empleados de la entidad y se perder toda la ltima informacin obtenida adems
de la prdida del equipo electrnico ya que dejar de funcionar y no tendr
reparacin alguna.
Adems nunca habr que ponerse en contacto fsicamente con los equipos
electrnicos ya que su contacto sera mortal para los empleados de la entidad.
Se recomienda el uso de detectores de agua los cuales al dispararse la alarma
corten automticamente la corriente elctrica para evitar males mayores.
Para su detencin se recomienda avisar a las autoridades necesarias (bomberos,
polica, etc.) con el fin de terminar con dicho problema, ya que tendrn que cortar
la corriente elctrica, en caso de que el sistema de seguridad de la empresa no
haya podido hacerlo. Nunca deber de hacerlo personal de la entidad.
1.2.3 Fuegos (incendios)
El fuego consiste en una reaccin qumica de una oxidacin violenta de una
materia combustible, provocando desprendimiento de llamas, vapor de agua,
dixido de carbono y calor. Es un proceso exotrmico.
Los fuegos son ocasionados por cortocircuitos, cigarros mal apagados, etc., y
estos ocasionan gravsimos daos tanto materiales como personales.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 7 -
Se recomienda el uso de alarmas, las cuales al detectar fuego o humo, se activan
directamente los extintores que estn situados en el techo y avisan a las
autoridades con el fin de evitar males mayores.
Se recomienda el uso de alarmas, las cuales al detectar fuego o humo, se activan
directamente los extintores que estn situados en el techo y avisan a las
autoridades con el fin de evitar males mayores.
Tambin es necesario el uso de extintores de mano que estn repartidos por toda
la entidad. Adems al lado de estos extintores deben existir carteles anunciado su
presencia e indicando su situacin.
1.2.4 Tormentas elctricas
Las tormentas elctricas consisten en fenmenos atmosfricos los cuales pueden
ocasionar graves daos fsicos a la entidad, estos daos pueden ser desde fuegos
ocasionados por las tormentas hasta picos de tensin los cuales pueden
destrozar los equipos informticos con sus respectivos datos.
Se recomienda el uso de pararrayos, estos consisten en una varilla de metal,
puesta en el tejado o en la parte ms elevada del edificio de la entidad, la cual
tiene un cable de cobre que va a aparar a una plancha del mismo metal
introducida a unos metros bajo tierra. En caso de que un rayo toque el pararrayos
este de descargar al tocar tierra. Evitando posibles daos.
Adems se recomienda que las copias de seguridad que se realicen estn
siempre alejadas de las estructuras metlicas del edificio de la entidad.
1.2.5 Picos de tensin
Los picos de tensin son otros problemas que puede tener cualquier entidad y
consiste en una sobrecarga en la corriente elctrica, los cuales pueden provocar
pequeos daos a nuestros equipos informticos.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 8 -
Se recomienda el uso de SAIs, los cuales consisten como dicen sus siglas en un
Sistema de Alimentacin Ininterrumpida, gracias a estos dispositivos en caso de
que exista un pico de tensin mantendr al equipo en un estado a salvo de
cualquier posible dao.
1.2.6 Back Up
Un back Up consiste en una copia de seguridad en formato digital de la
documentacin de los datos de la entidad, es un conjunto de archivos, los cuales
son almacenados con el fin de protegerlos ante cualquier dao interior o exterior a
la entidad.
Estas copias de seguridad son tiles, ya que nos sirven para restaurar un equipo
informtico despus de haber ocurrido un ataque, desastre para recuperar
archivos que hayan sido borrados sin querer.
1.3 Seguridad Lgica
Consiste en que los procedimientos de seguridad sirven para saber quin, cmo y
cundo un usuario accede a una parte de la informacin, por tanto sus
procedimientos sirven para controlar dicho acceso lgico, y en caso de que no sea
el usuario adecuado para la informacin, el sistema bloquear dicha informacin,
para ello incluir barreras y controles que protejan el acceso de los datos a
terceras personas que no tengan la autorizacin necesaria.
Para ello se realiza una serie de puntos clave para la seguridad lgica:
En caso de problemas en la transmisin debe de haber un proceso de
emergencia con el fin de que la informacin pueda llegar hasta el
destinatario.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 9 -
Comprobar que los empleados que usen dichos archivos y programas
puedan estar trabajando sin necesidad de una supervisin y que a la vez no
sean capaces de cambiar o modificar los archivos y programas que no les
corresponden como empleados.
La informacin recibida por el destinatario, tiene que ser la misma que la
que fue enviada desde el origen.
Limitar el acceso a los archivos y programas de la entidad.
Sostener que los empleados que estn utilizando los archivos, programas y
los datos estn siendo utilizados en el procedimiento correcto y no por
otros.
Toda la informacin transferida solo puede ser recibida por el destinario
real, y no a terceros, ya que esto sera un grave problema en la entidad.
Deben de existir diferentes caminos de transmisin entre diferentes puntos.
1.3.1 Controles de acceso al sistema
Los controles de acceso son una herramienta totalmente necesaria y bsica para
tener un mnimo de seguridad lgica en la entidad. Adems son de una gran
ayuda ya que protegen al sistema respecto a modificaciones no consentidas,
mantienen la integridad de la informacin, protegen las aplicaciones que se utilizan
y protegen la informacin respecto a empleados que no tienen el acceso necesario
para ello.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 10 -
Cabe destacar que el (NIST)1 ha compilado los requisitos mnimos que debe de
tener cualquier sistema de seguridad:
Identificacin y autentificacin del personal.
Los roles: Consiste en que el acceso a la informacin por parte del
empleado se controla con diversos roles que pueda tener, para cada uno
tendr una serie de privilegios o restricciones dependiendo de cul sea.
Modalidad de acceso: Consiste en el modo de acceso que puede tener un
empleado de la entidad respecto a unos determinados recursos, el usuario
puede tener cualquiera de los siguientes modos o todos ellos dependiendo
del grado de acceso que tenga:
Lectura: en este caso solo podr leer y visionar el documento.
Escritura: solo podr modificar dicho documento.
Borrado: ser capaz de eliminar el documento.
Ejecucin: permite el acceso al programa.
Las transacciones: Los controles se pueden desarrollar a travs de dichas
transacciones, un ejemplo de esto puede ser que para realizar una
determinada transaccin se solicite una clave determinada.
Limitando los servicios: Este control se centra en las posibles restricciones
que pueden existir dependiendo de la aplicacin o datos utilizados, todo ello
establecido por el administrador del sistema que pone dichas restricciones.
1 National Institute of Standards and Technology
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 11 -
Horario y Ubicacin: En este caso el empleado solo podr acceder a los
recursos en determinadas horas del da y en determinados equipos
informticos de la entidad.
Control de Acceso Interno: Como su nombre indica consiste en un control
que se realiza centrado para un posible ataque desde el interior de la
entidad, consiste en uso de contraseas, listas de acceso, cifrado de los
datos, etc.
Control de Acceso Externo: Sirve para prevenir un ataque desde el exterior,
para ello se utilizan cortafuegos (firewalls), dispositivos de control de
puertos, etc.
Administracin: En esta parte consiste en realizar una correcta
implementacin, pruebas, seguimientos y modificaciones sobre los accesos
de los usuarios a los sistemas de la entidad.
1.3.2 Niveles de seguridad informtica
Los niveles de seguridad utilizados mundialmente por todas las entidades
consisten en la ISO 15408 en referencia a las normas de seguridad en los equipos
informticos del Departamento de Defensa de los Estados Unidos.
Cada nivel tiene una serie de caractersticas las cuales describen un nivel de
seguridad, estos van desde un nivel mnimo de seguridad hasta el mximo.
Dichos niveles fueron la base para el desarrollo de los estndares internacionales
ISO/IEC.
A continuacin se explican todos los niveles:
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 12 -
Nivel D: Este es el nivel mnimo en el cual solo tiene una divisin y est
guardada para los sistemas que hayan sido evaluados y por supuesto no
cumplen con ninguna especificacin de seguridad. En este caso no hay
autentificacin con respecto a los usuarios y por tanto no hay proteccin
referente al acceso de la informacin.
Nivel C1: En este nivel se precisa de una identificacin por parte de los
usuarios para permitir el acceso de informacin, de la cual no se obtena en
el Nivel D. A partir de ahora se hace la distincin entre los usuarios del
sistema y el administrador del sistema, quien tendr un control de acceso
total al sistema. En referencia al nivel C1, podrn existir grupos de usuarios
con iguales privilegios as como grupos de recursos, respecto de los cuales
podr actuar el grupo de usuarios.
Nivel C2: Este nivel sirve para solucionar las flaquezas que tiene el nivel
C1. Consiste en restringir a los usuarios que ejecuten ciertos comandos o
que tengan el acceso a ciertos archivos. Los empleados tienen autorizacin
para poder hacer algunas tareas de administrador sin tener que ser
administradores. Ayudan a mejorar las cuentas de las tareas centradas con
la administracin de sistema.
Nivel B1: El nivel B se divide en 3, este es el primero de ellos, en este caso
es capaz de soportar seguridad multinivel, como la secreta y ultra secreta.
Se consolida que el dueo del archivo no puede ser capaz de modificar los
permisos de un objeto que est bajo el control de acceso obligatorio. El
usuario que quiere acceder a un determinado objeto deber tener un
permiso para hacerlo. Consiste en que cada usuario tendr unos objetos
asociados.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 13 -
Nivel B2: Consiste en que cada objeto de nivel superior se etiquete por ser
padre de un objeto de nivel inferior. En esta parte del sistema, avisar y
alertar a los usuarios si sus caractersticas de seguridad y acceso han sido
modificadas.
Nivel B3: En este nivel se necesita que la terminal del usuario debe
conectarse al sistema a travs de una conexin segura. Adems aumenta
a los dominios con la instalacin de hardware. Por ltimo el usuario tiene
asignados los objetos y los lugares a los que puede acceder para
conectarse.
Nivel A: Es el nivel mximo, para poder llegar a este punto de seguridad, se
deben de incluir todos los niveles anteriores. Por supuesto al ser el nivel
ms alto tiene un proceso de diseo, control y verificacin mediante
mtodos o procesos matemticos, para garantizar todos los procesos que
realiza un usuario sobre el sistema de la entidad. Por ltimo debe de existir
proteccin para que tanto el hardware como el software no tengan
infiltraciones ante posibles movimientos del equipo.
1.4 Seguridad Fsica
Respecto a la seguridad fsica son procesos que existen y sirven para controlar el
acceso fsico al equipamiento informtico. Para ello se usarn cmaras de video,
puertas de acceso con tarjetas, etc. Por ejemplo, si visitamos las oficinas de
cualquier edificio de una gran empresa se observara cmo tendrn desde la
entrada principal del edificio un control para saber quin entra y quin sale, y todo
ello automatizado y controlado.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 14 -
1.4.1 Acceso fsico al sistema
Por mucha seguridad que se tenga en el sistema a la hora de acceder a l, no
sirve de nada si adems no se es capaz de tratar la seguridad del acceso fsico al
sistema, por lo tanto cualquier extrao que entrase en la empresa podra abrir
cualquier CPU de la entidad y llevarse fsicamente los discos duros con
informacin importante.
Se debe de garantizar la seguridad fsica ya que tambin puede ser un agujero de
seguridad de acceso a datos, por lo tanto para poder prevenir casos de intrusin y
robo se recomienda el uso de diferentes sistemas de prevencin, cada uno
depende de la inversin que se quiere realizar para la seguridad. Estos son los
siguientes:
Sistemas de prevencin Inversin
Uso de hardware, desde analizadores
de retina, uso de videocmaras, uso
de control de puertas, personal de
seguridad en el edificio, etc.
Alta
Uso de lectores de cdigo, con el fin
de saber quin entra y quin sale en
cada determinada sala de la entidad
con el fin de tener un control sobre su
acceso.
Media
Bloquear los tomas de red que no son
utilizadas as como los cables de red
para evitar pinchazos por terceras
personas, cerrar todas las puertas con
llave al salir.
Baja
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 15 -
1.5 Sistemas De Seguridad
1.5.1 Autentificacin del personal
Esto consiste en la verificacin del personal de la empresa, es decir en confirmar
que el usuario que va a usar y manejar los datos es el usuario que se cree que es.
Para acceder a un sistema lo ms comn es utilizar una contrasea o incluso dos
para controlar el rango de acceso, aun as existen otras tcnicas que hacen lo
mismo, y estas se dividen en tres clases dependiendo el tipo de informacin que
se necesita para la autenticacin con el fin de obtener el acceso a los datos.
Por lo que se tiene: Es decir el uso de una tarjeta electrnica o magntica.
Por lo que se sabe: Este es el mtodo ms clsico, el uso de contrasea.
Por lo que se es: Biometra, es decir el uso de huellas digitales u otros
sistemas.
1.5.2 Para qu sirve identificarse?
La identificacin sirve para tener una barrera de seguridad mnima, con el fin de
evitar posibles daos a la entidad, adems con la identificacin se puede entrar en
el sistema con las caractersticas correspondientes como usuario.
1.5.3 Por qu estaran interesados en destruir o robar datos de la entidad?
Se puede responder a esta pregunta en una sola frase, Quien Tiene La
Informacin Que Controlar El Mundo, si se observa en el mundo alrededor se
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 16 -
comprobara que todo se almacena en bases de datos como por ejemplo, cuentas
bancarias, historiales clnicos, datos financieros, fichas policiales, inversiones,
Hacienda, etc.; hasta el punto de que por ejemplo un banco si quiere saber todo el
dinero que tiene no le sirve de nada contar el dinero fsico que tenga en las cajas
fuertes, sino el que se indica que tiene en su base de datos. Por lo tanto esa
informacin, que es bastante golosa para terceras personas, tiene que estar a
salvo de cualquier posible robo o destruccin de datos, estos son conocidos como
delitos informticos.
1.5.4 Quines estaran interesados en destruir o robar datos de la entidad?
Pueden ser desde, personas que no tienen ninguna relacin, pasando por
empleados de la misma compaa o compaas competidoras.
Personas sin relacin con la entidad, en este caso pueden ser de dos tipos:
Hackers: Son personas que atacan a la compaa con el nico objetivo de
encontrar brechas en el sistema de seguridad y obtener as solo el reconocimiento
personal de haber encontrado esa brecha de seguridad en el sistema.
Crackers: Son personas cuyo objetivo es encontrar esas brechas de seguridad
con el fin de obtener los datos de la entidad ya sea para robarlos para su beneficio
o destruirlos por puro placer y malicia, los cuales adems de utilizar sus
habilidades de informtica para romper los sistemas de la entidad son capaces de
colapsar los servidores, entrar a zonas restringidas de la entidad o compaa para
luego infectarlas y apoderarse de ellas.
Empleados de la misma entidad: En esta parte los mismos empleados pueden
atacar a su misma empresa por varias razones, despidos, maltrato por parte de los
jefes o compaeros, su nico objetivo ser corromper, modificar y destruir datos
de la entidad por pura venganza. Tambin es uno de los ms peligrosos debido a
que ellos tienen acceso a los datos y no se sospecha de ellos.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 17 -
Compaas competidoras: Muchas empresas que compiten en el mismo
mercado que una entidad pueden llegar a hacer cualquier cosa con tal de
eliminarlos de su competencia, ya que los pueden ver como una seria amenaza
para ellos, por ello a veces algunas empresas (no todas), de forma ocasional,
pueden ser capaces de atacar, espiar o robar con tal de obtener una gran ventaja
respecto a su competencia en el mercado, aunque para ello realice un acto
delictivo. Se puede explicar con una frase En el amor y en la guerra todo vale, y
al fin al cabo a la hora de entrar en el mercado de las grandes empresas es una
guerra.
A continuacin se explican las tres clases que sirven para autenticacin:
Por lo que se tiene
Un tipo de seguridad para la identificacin del usuario es mediante el control y
comprobacin de un objeto que tiene la persona y que le identifica como tal
usuario y poseedor de dicho objeto, este objeto puede ser una tarjeta magntica o
una tarjeta electrnica. Para la identificacin de una persona a travs de un objeto
se suele utilizar alguna de estas dos clases de tarjeta, aunque ltimamente
empieza a estar en desuso la tarjeta magntica y est ganando adeptos la tarjeta
electrnica,
Tarjetas magnticas
Son una serie de tarjetas que almacenan datos a travs de una banda magntica
con la cual se pueden grabar datos en ella. Consiste simplemente en una tarjeta
de plstico a la cual se le aade una banda magntica en el proceso de su
fabricacin.
La banda magntica consiste en una banda oscura, la cual est formada por
partculas ferros magnticos insertados en una matriz de resina y que son capaces
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 18 -
de almacenar informacin a travs de una codificacin determinada que es capaz
de polarizar dichas partculas.
Dicha banda magntica es leda o grabada a travs del contacto fsico
introducindola a travs de una cabeza de escritura/lectura mediante la induccin
magntica.
Sus principales caractersticas son:
De bajo costo para la entidad
No son reutilizables, es decir si la tarjeta ha terminado de hacer su funcin
no puede ser utilizada para otra diferente, a menos que vuelvan a ser
grabada en ella nuevos datos.
Pueden ser ledas y grabadas todas las veces que se desea.
Aunque son capaces de almacenar informacin su capacidad es baja.
Tarjetas electrnicas
Consisten en ser una tarjeta de plstico igualmente que las tarjetas magnticas
con la diferencia de que se ha quitado la banda magntica y ha sido sustituida por
un chip que consiste en un microprocesador. Estas tarjetas son la evolucin de las
tarjetas magnticas, estas tarjetas electrnicas a las cuales al incorporar un
microprocesador consiguen tener mayor capacidad de procesamiento que las
magnticas adems de ser ms verstiles.
Las caractersticas de estas tarjetas se centran en lo siguiente:
Son resistentes al uso continuado.
Se pueden hacer varias aplicaciones con una misma tarjeta, cosa que no se
poda hacer con las tarjetas magnticas.
Los datos que contiene estn cifrados, adems del posible uso de un PIN.
Tiene una gran capacidad de almacenamiento.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 19 -
Pueden ser reprogramadas.
Por lo que se sabe
Contraseas
Las contraseas sirven para verificar que el usuario que est accediendo al
sistema es dicho usuario y no terceras personas, ya que entonces se est
teniendo una grave brecha en la seguridad, para ello se realiza un proceso de
verificacin de la identidad del usuario en el cual se comprueba que es quien dice
ser. Aun as no existe una seguridad total, y por tanto se darn a conocer ms
adelante consejos necesarios para reducir esa posible brecha en la seguridad.
Adems el uso de contraseas sera para la entidad un pequeo costo, ya que es
lo ms barato y mnimo respecto a la seguridad.
En este caso existe un pequeo problema con el usuario y consiste en que si el
usuario tiene que recordar varias contraseas y ste no sea capaz de recordarlas
pueda ocurrir alguna de estas dos cosas:
Que apunte todas las contraseas en algn sitio, esto sera un grave error
ya que entonces estara en jaque toda la seguridad de nuestro sistema, y
por tanto estara en peligro nuestra informacin ya que si alguien encuentra
el papel donde estn apuntadas las contraseas producir una brecha
enorme en la seguridad.
Que al final el usuario decida poner la misma contrasea para todos los
accesos que necesita identificarse, en este caso, si alguien es capaz de
averiguar su contrasea podra entrar en cualquiera del resto de los
sistemas que quiera.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 20 -
Para que no ocurran dichos problemas se recomienda mentalizar a los empleados
respecto al uso de sus contraseas.
Consejos a la hora de elegir contraseas
Para empezar se indicaran un par de consejos totalmente necesarios respecto a
las claves que hay que elegir.
Tienen que tener como mnimo 8 caracteres. Esto es debido a que si se
hiciera un ataque intentando escribir todas las contraseas posibles se
tardara un tiempo dependiendo de la longitud de la contrasea.
No utilizar una contrasea de acceso a un sitio para usarla en otro. Esto es
debido a que mucha gente utiliza la misma contrasea para multitud de
accesos provocando un gran riesgo en el caso en que se descubra ya que
estar en riesgo el acceso al resto de sitios.
Nunca usar contraseas numricas que tengan relacin con el usuario,
como puede ser, nmero de telfono, fecha de nacimiento o de alguna
fecha significativa, nmero de matrcula del coche, o el nmero de la lotera
que juega siempre, etc.
Toda contrasea debe de ser alfanumrica, es decir nmeros con letras y
adems intentar que algunas letras sean maysculas y otras minsculas,
adems de posibles smbolos.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 21 -
Nunca utilizar palabras con significado o de un nombre personal, ya que
entonces nos pueden hacer un agujero en la seguridad con un ataque de
diccionario.
Como proteger una contrasea
La seguridad respecto a la hora de proteger una contrasea no solo recae en el
usuario que la tiene, y muchas veces solo echan la culpa al usuario, sino que
adems tambin el administrador tiene parte de culpa. Esto es debido a que si la
contrasea del usuario cae en terceras manos no solo se compromete al usuario
sino a todo el sistema, en el cual el administrador tiene que estar pendiente de un
posible ataque.
A continuacin se lista una serie de consejos con el fin de proteger una contrasea
tanto para el usuario como para el administrador.
La contrasea debe de ser modificada cada cierto tiempo, semanalmente,
mensualmente, etc.; dependiendo de cada caso, en definitiva la contrasea
debe de cambiar con el tiempo.
Siempre habr que cambiar todas las contraseas que estn por defecto en
el sistema, suele ocurrir que mucha gente no se preocupa por ellas, pero
estas contraseas son fcilmente de conseguir sin ningn esfuerzo.
Las contraseas son de uso individual, por tanto no se deben compartir o
distribuir entre compaeros de la entidad.
Nunca escribir la contrasea en algn sitio, debe de estar memorizada, ya
sea mediante el uso de tcnicas nemotcnicas, ya que cualquier persona
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 22 -
puede encontrar donde se haya escrito la contrasea poniendo en grave
situacin la seguridad del sistema.
No debe de existir una cuenta sin contrasea, esto es un grave error, y por
tanto para que esto no ocurra el administrador debe de estar pendiente y
repasar que no exista una cuenta sin contrasea.
Por lo que es (Biometra)
Esta tcnica consiste en la verificacin del personal de la empresa mediante sus
caractersticas fsicas (voz, huellas, retina, mano, cara, firma, etc.). Esta tcnica es
una de las ms seguras que existe, aun as siempre se puede decir que no existe
la seguridad perfecta sin embargo con esta tcnica se aumenta bastante la
seguridad.
Adems la biometra tiene una serie de ventajas con respecto a otros sistemas de
seguridad, a la hora de la autentificacin como por ejemplo:
No es necesario memorizar ninguna contrasea.
No es necesario llevar un objeto identificando quien es el usuario.
No hay que actualizar los registros de los usuarios, la gente mantendr los
mismos rasgos fsicos siempre.
Difcilmente de falsificar dichos rasgos fsicos.
El funcionamiento de este sistema consiste en lo siguiente, para empezar el
individuo o personal de la entidad se debe registrar en el sistema, obteniendo este
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 23 -
ltimo las caractersticas fsicas de la persona a travs de un algoritmo numrico,
obteniendo una serie de valores, los cuales se almacenarn en una base de datos.
Ahora cuando el empleado se identifique existen dos tipos de autentificacin, el
mtodo de 1 a 1 y el mtodo de 1 a N, los cuales se explican a continuacin:
Mtodo de 1 a 1: En este caso el usuario deber identificarse primero a
travs de una credencial, con ello la base de datos sabr con que registro
deber comparar los datos que obtenga a continuacin de dicho usuario
cuando ste se haga la prueba biomtrica, por tanto en este caso los datos
obtenidos por el usuario en la identificacin biomtrica solo se compararn
con un registro guardado en la base de datos.
Mtodo de 1 a N: En este tipo de autentificacin el usuario no necesita el
uso de ningn tipo de credencial, simplemente se toman los valores del
usuario por el sistema biomtrico y son comparados con todos los registros
que haya en la base de datos del sistema.
Hay varios tipos de clases de biometra segn lo que se quiera verificar del
personal, las cuales se listaran a continuacin.
Lectura de la mano del empleado:
Lectura de la huella digital del empleado:
Lectura del iris del empleado:
Lectura de la cara del empleado:
Reconocimiento de la voz del empleado:
Reconocimiento de la firma:
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 24 -
Criptografa
La criptografa es un punto en la seguridad informtica que siempre habr que
comentar, ya que forma parte de ello.
Un ejemplo actual del uso de la criptografa en el mundo de la seguridad
informtica consiste en los diferentes tipos de cifrado, con el fin de mantener la
seguridad de las claves cuando se est introduciendo una contrasea para
acceder a una cuenta de correo o cuando se envia un correo electrnico para
alguien. Estos mtodos de seguridad sirven para que en caso de que terceras
personas sean capaces de obtener dicha informacin, mediante diferentes
mtodos de ataque como por ejemplo el hombre en medio, no sean capaces de
leerlas debido a que estn cifradas y por lo tanto no puedan ser ledas por dichos
atacantes.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 25 -
Capitulo II: Auditoria Informtica
2.1 Qu es una auditora?
Son una serie de tcnicas y de un grupo de procedimientos, cuyo fin es evaluar y
controlar un sistema con el objetivo de proteger sus recursos y activos, as como
comprobar que las actividades que se realizan de forma eficiente y con la
normativa general de cada empresa para obtener la eficacia exigida en el marco
de la organizacin estableciendo planes de accin y recomendaciones.
Consiste en un examen detallado de la estructura de una empresa, en cuanto a
controles y mtodos, su forma de operacin, sus objetivos y planes, sus equipos
fsicos y humanos.
Es una visin sistemtica y formal con el fin de determinar hasta que parte una
organizacin cumple sus objetivos establecidos por la empresa, as como para
diferenciar los que necesitan mejorarse
La auditora es en s una actividad que se debe realizar mediante el uso de
conocimientos acadmicos, para ello se utilizan una serie de tcnicas que lleven a
la prestacin de un servicio con alto nivel de calidad
2.2 Etapas de la auditora general
2.2.1 Estudio General:
Est basado en la estimacin general de las caractersticas de la empresa, de los
estados financieros y de los elementos ms importantes, de forma que sirvan
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 26 -
para la orientacin a la hora de aplicar una serie de tcnicas que resulten ms
convenientes en la auditora.
El concepto que debe de tener el auditor respecto del negocio del cliente es:
Las condiciones Econmicas y del Sector de la Empresa.
La estructura de dicha Organizacin.
Su estructura Legal y Operaciones.
2.2.2 Las condiciones Econmicas y del Sector de la Empresa.
El auditor tendr un conocimiento bsico referente a las condiciones econmicas
de la empresa, as como las condiciones competitivas que llegan a afectar las
operaciones realizadas de un cliente y los cambios que se producen en la
tecnologa. La nocin de las prcticas contables relacionadas en el sector de la
industria en la cual el cliente se desenvuelve es de vital importancia.
2.2.3 La estructura de dicha Organizacin
En una organizacin de cualquier magnitud, ser esencial el uso de un diagrama
de la organizacin con el fin de especificar las tareas y las responsabilidades de
los diversos miembros de la misma organizacin. La estructura de una asociacin
reparte las tareas entre los diversos empleados, las posiciones y departamentos o
grupos. Para poder controlar el trabajo de una organizacin se adoptar medidas
de procedimiento y mtodos que ayudarn a proporcionar evidencias de que
aquellas tareas fijadas por las estructura de la asociacin se llevan a cabo.
2.2.4 Su estructura Legal y Operaciones.
La auditora comenzar con el conocimiento de las circunstancias y operaciones
de la organizacin auditada. El auditor deber de preparar una descripcin breve
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 27 -
de la naturaleza de aquellas actividades comerciales adems de los factores ms
importantes que afectan a dichas operaciones.
Para ello el auditor deber de tener un conocimiento referente a las
caractersticas de funcionamiento, as como de los procedimientos relativos a la
administracin y de su estructura legal.
Para poder comprender la informacin obtenida mediante la auditora, el auditor
deber de saber los negocios del cliente as como todos los factores que pueden
llegar a influir en las operaciones
La revisin de los documentos legales de la organizacin es necesaria para el
correcto entendimiento de los registros contables, y de los estados financieros.
Esta informacin ayudar a ampliar el conocimiento del negocio.
Hay que reconocer que sin esta fase del examen de la auditora sera una
restriccin referente al alcance de esta rea, en la cual sera una negativa por
parte del cliente no permitir al auditor contemplar los libros de actas, lo que
conducir al auditor a la denegacin de un dictamen. Ya que la informacin que se
puede obtener de ello no se podr obtener de otra forma.
2.2.5 Ejecucin de la Auditora
Se encontraran los aspectos siguientes en esta etapa:
Anlisis: ayudar para clasificar y agrupar elementos de la organizacin.
Inspeccin: se trata de comprobar mediante una serie de pruebas los
elementos de la organizacin.
Confirmacin: consistir en obtener una comunicacin por parte de una
persona independiente de la empresa que est siendo auditada para el
conocimiento de las condiciones y de la naturaleza de la operacin de una
manera vlida sobre la misma
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 28 -
Investigacin: el auditor obtendr una serie de conocimientos con los cuales
se formar un juicio sobre los elementos de la empresa por medio de datos,
ya que estos nos sirven de base para la toma de decisiones.
Observacin: consiste en presenciar los hechos o ciertas operaciones,
mediante las cuales el auditor se da cuenta de qu forma se realizan por el
personal de dicha empresa.
2.2.6 Informe Final
El informe constar de dos partes la primera ser de procedimiento y la segunda
una opinin del auditor, con la primera parte se indicar el alcance de dicha
auditora mientras que la segunda ser la opinin del autor referente al correcto
funcionamiento y presentacin de los estados de dicha organizacin.
El objetivo de este informe ser dar una opinin independiente y profesional.
2.3 Cundo realizar una Auditora y por qu?
Las razones ms importantes a la hora de realizar una auditora podrn ser
algunas de las siguientes.
2.3.1 Razones Externas.
a) Cambio o modificacin en el marco legislativo.
La legislacin o la liberacin pueden cambiar el entorno, siendo este
menos previsible ya que cambia la situacin definida por las leyes
reguladoras por otra regida por las fuerzas de otras entidades de la
competencia.
La anulacin de barreras comerciales obligando a la apertura de
nuevos horizontes hacia mercados que pueden tener una
competencia internacional en vez de los mercados internos cerrados.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 29 -
La privatizacin de las organizaciones puede cambiar la orientacin
de ellas mismas, obligando a pasar de un modelo burocrtico a un
modelo orientado a la eficiencia de las actuaciones y al servicio al
cliente.
b) Fluctuaciones del mercado.
La innovacin y la mejora de la tecnologa puede llegar a provocar
que sectores industriales y las empresas queden obsoletas, para
poder solucionar este problema debern de adaptarse a los nuevos
cambios
Los ciclos econmicos pueden llegar a obligar a ciertas
organizaciones a cambiar su orientacin por lo cual tendrn que
tener una serie de estrategias diferentes.
2.3.2 Razones internoexternas
a) La reorganizacin de una empresa
Esto puede ser provocado por diferentes causas: ya sea un cambio
de la propiedad de la empresa, creacin de un producto nuevo,
debilitamiento o desgaste en el equipo directivo as como un cambio
en la estrategia.
b) Emisin de ofertas pblicas en mercados
Debido al xito de una oferta pblica, la publicidad de los resultados
obtenidos de la auditora puede llegar a servir para comunicar las
ventajas competitivas de la empresa as como el destacar el talento
de los gestores.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 30 -
2.3.3 Auditor informtico
Para empezar se tiene que saber que un mismo auditor no tiene porqu servir
para distintas auditoras, por lo tanto se debe elegir aquella persona que tenga la
experiencia necesaria y los conocimientos necesarios acordes al tipo de auditora
que se va a realizar ya que interactuar de una forma ms natural.
Su formacin acadmica puede ser desde unos estudios de nivel tcnico hasta
pasando por ingeniera industrial, derecho, informtica, ciencias polticas,
contabilidad, o cualquier otra formacin, esto es debido a que las auditoras
pueden ser de tantas clases como formaciones se tienen, lo importante es que
tenga una formacin relacionada con la auditora que vaya a impartir, ya que por
ejemplo un auditor en auditora informtica si el da de maana va a realizar una
auditora fiscal y no tiene los conocimientos necesarios respecto a ese tema, no va
a poder realizar el trabajo correctamente aunque su experiencia en auditoras sea
alto .
Tambin se valorar toda aquella formacin complementaria que habr obtenido
el auditor mediante seminarios, conferencias o cursos de reciclaje.
Respecto a las caractersticas personales del auditor las cuales son determinantes
a la hora de hacer su trabajo correctamente tiene que tener algunas de las
siguientes propuestas a continuacin:
Estabilidad emocional: el auditor no podr dejarse llevar por
sentimientos personales (angustia, rabia, etc.) los cuales pueden
influenciar negativamente a la hora de realizar dicha auditora.
Escuchar: deber de estar atento y saber todo lo que est ocurriendo
a su alrededor entendiendo claramente lo que digan el personal de la
entidad.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 31 -
Analizar: tendr que ser una persona capaz de examinar
objetivamente una vez obtenido los datos necesarios.
tica: tiene que ser una persona con moral y que no se pueda
corromper.
Observador: tendr que estar atento a todo lo que est pasando
mientras realiza la auditora.
Optimista: habr que dar una actitud positiva a la hora de realizar
dicha auditora para que la gente que est en dicha entidad no llegue
a tomarle miedo, aunque tendrn que demostrar cierto respeto al
auditor.
Objetivo: deber de tener su propio punto de vista neutral a la hora
de realizar el examen final.
Discrecin: su paso a la hora de realizar la auditora desde la toma
de datos hasta la realizacin del examen debe de pasar lo ms
inadvertido en la entidad.
Trabajo en equipo: en el caso de trabajar con ayudantes u otros
auditores deber saber delegar el trabajo, as como una actitud
correcta en todo el momento con los dems compaeros del equipo.
Iniciativa: sabr qu pasos realizar en cada momento y como tienen
que hacerse sin dudar ni flaquear.
Exposicin en pblico: deber expresarse correctamente al personal
de la entidad.
Por ltimo cabe resaltar que la experiencia del auditor es uno de los mayores
puntos a favor que tiene, ya que gracias a ella cada vez tendr mejores
conocimientos y capacidades a la hora de enfrentarse a nuevos retos
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 32 -
2.3.4 Auditoria informtica
Sirve para recoger, agrupar y evaluar evidencias con el fin de confirmar si un
sistema de informacin mantiene la integridad de los datos, salvaguarda el activo
empresarial, cumple con los objetivos de la entidad de forma eficiente cumpliendo
con las leyes y regulaciones establecidas.
Con esta auditora podremos mejorar algunos puntos de la empresa como pueden
ser la eficacia, seguridad, rentabilidad y eficiencia.
En este tipo de auditora sus objetivos primarios son, el control de la funcin
informtica, el anlisis de los sistemas informticos, que se cumpla la normativa
en este mbito y la revisin eficaz de la gestin de los recursos informticos.
2.3.5 Pruebas en la auditora
A lo largo de la auditora se deben de realizar una serie de pruebas con el fin de
obtener la mayor informacin posible a la hora de tomar decisiones
Cumplimiento. Sirven para comprobar si un sistema de control
interno funciona correctamente.
Sustantivas. Se obtienen por observacin, clculos, entrevistas,
muestreos, tcnicas de exmenes analticos, conciliaciones y
revisiones. Sirven para verificar la integridad, exactitud y validez de
la informacin.
Clsicas. Se comprueban sistemas y aplicaciones con datos de
prueba, en un entorno simulado. Observando la entrada y el
resultado en la salida obtenido.
2.4 Cundo realizar la auditora?
Por deficiencias econmicas, incrementos de los costes.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 33 -
Inseguridad en las instalaciones, ya sea seguridad fsica, lgica o la
confidencialidad de los datos.
Cuando hay mala imagen o no se cumple con la satisfaccin de los
clientes, debido a que no se reparan las averan en los plazos que
deben de ser, cuando no se atiende correctamente a los clientes, o
no se cumplen los plazos de entrega firmados.
Deben de realizarse cuando se descubren problemas de
descoordinacin y desorganizacin, esto es debido a que no se
cumplen los estndares de productividad conseguidos o cuando no
coinciden los objetivos o no se cumple con los de la compaa.
2.5 Objetivo de la auditora informtica
La operatividad consiste en que la entidad y las mquinas funcionen aunque sea
mnimamente. Ya que no es necesario detener los equipos informticos para
descubrir sus fallos y comenzar de nuevo. Este tipo de auditora se realizar
cuando los equipos estn operativos, en eso consiste su principal objetivo, que el
hecho de realizar la auditora no pare la productividad de la empresa totalmente.
Para conseguir este objetivo habr que realizar los siguientes controles.
Controles Tcnicos especficos, son necesarios para lograr la
operatividad de los sistemas. Por ejemplo se puede descubrir que los
parmetros de asignacin automtica en el espacio de un disco estn
mal, provocando que no se pueda utilizar por otra seccin distinta. Al
igual que la prdida de informacin provocando dificultad o anulando
otras aplicaciones.
Controles Tcnicos Generales, sirven para comprobar la compatibilidad
entre sistema operativo y software, as como la compatibilidad entre
hardware y software. Y por tanto es de los ms importantes, ya que un
problema en la compatibilidad puede crear un gran problema en la
entidad.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 34 -
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 35 -
Capitulo III: Qu Es Una ISO/IEC?
3.1 Introduccin
Son estndares de seguridad publicados por la Comisin Electrotcnica
Internacional (IEC) y la Organizacin Internacional para la Estandarizacin (ISO).
La serie ISO/IEC 27000 sirve para desarrollar, mantener e implementar
especificaciones para los sistemas de gestin de la seguridad de la informacin,
tambin conocido como (SGSI).
Podemos nombrar algunas ISO relacionadas como por ejemplo:
ISO/IEC 27000 consiste en un vocabulario estndar para el SGSI
ISO/IEC 27001 es la certificacin que deben de tener las organizaciones,
adems es una norma que especifica los requisitos necesarios para la
implantacin del SGSI. Se la considera la norma ms importante de la
familia. Est centrada en la mejora continua de los procesos y de la gestin
de riesgos.
ISO/IEC 27002 Tecnologa de la informacin, tcnicas de seguridad y
cdigo para la prctica de la seguridad de la gestin de la informacin.
ISO/IEC 27003 Directrices para la implementacin de un SGSI. Tambin
se le considera el soporte de la norma ISO/IEC 27001.
ISO/IEC 27004 Mtricas para la gestin de seguridad de la informacin.
Proporciona recomendaciones de quin, cundo y cmo realizar
mediciones de seguridad de la informacin.
ISO/IEC 27005 Gua para la gestin del riesgo en relacin a la seguridad
de la informacin.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 36 -
ISO/IEC 27006 En ella se especifican los requisitos para la acreditacin
de entidades de certificacin de sistemas de gestin de seguridad de la
informacin y auditora.
Cada da son ms las entidades que quieren obtener dichas normas consiguiendo
as su certificacin con el fin de tener un requisito que le permite competir con
otras entidades, consiguiendo mayor capacidad de negociacin con entidades que
piden que sus proveedores y clientes estn certificados.
Otras entidades lo que quieren obtener realmente con dichas normativas es la
mejora de sus procesos y acogerse a los estndares de calidad internacionales.
3.2 IEC
3.2.1 Historia
IEC surgi en Reino Unido en 1906 y desde sus inicios ha estado proporcionando
estndares globales a todas las industrias electrotcnicas mundiales.
La IEC es una organizacin no gubernamental sin fines de lucro. Su objetivo
consiste en publicar y preparar estndares internacionales para todas las
tecnologas elctricas o relacionadas a la electrnica.
3.2.2 Visin
Que las normas de la IEC y los programas de evaluacin de la conformidad sean
la clave al comercio internacional.
3.2.3 Misin
La misin de IEC es ser reconocida mundialmente como el proveedor lder de
normas, los sistemas de evaluacin de la conformidad y servicios relacionados
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 37 -
necesarios para facilitar el comercio internacional y aumentar el valor del usuario
en los campos de la electricidad, electrnica y tecnologas asociadas.
3.2.4 Importancia del mercado
Al promover la adopcin de todas y la utilizacin de las Normas IEC y los servicios
a lo ancho del mundo, la gestin IEC har todo lo posible para garantizar que los
miembros de los comits nacionales representan todos los intereses nacionales en
tanto el sector privado y el sector pblico. Estos incluyen a los fabricantes,
servicios pblicos, proveedores, distribuidores, usuarios, consumidores,
investigadores, acadmicos, normas de las organizaciones de desarrollo y los
reguladores.
El IEC seguir poniendo de relieve el papel esencial de su representante en los
comits nacionales, reconociendo tanto que es a travs de una buena
representacin de los comits nacionales y que la industria puede influenciar el
trabajo de la IEC y que la mayora de los costos de la IEC normalizacin son
sufragados por los patrocinadores de expertos que realizan el trabajo tcnico.
El IEC har hincapi en el carcter democrtico y transparente de su organizacin
y funcionamiento, que ofrece igualdad de oportunidades a todos los miembros en
beneficio de acuerdo con sus contribuciones a la actividad tcnica de la
IEC.
A fin de maximizar aportaciones y beneficios a sus principales mercados, el IEC
desarrollar los medios y procesos mediante los cuales se puede atraer e
incrementar sustancialmente la participacin de la industria en su normalizacin y
gestin de los organismos de evaluacin de conformidad.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 38 -
Para garantizar la mayor aceptacin posible de trabajo IEC y reflexionar sobre la
evolucin de la sociedad, los comits nacionales de la IEC fomentarn la
participacin de los usuarios finales y los consumidores a nivel nacional y como
los miembros de sus delegaciones.
El IEC se esforzar por aumentar su aceptacin como una plataforma mundial
para una plena serie de publicaciones tcnicas de los documentos de consenso
limitado a un consenso pleno las normas internacionales, as como para la
evaluacin de la conformidad sistemas y servicios relacionados con las normas.
3.2.5 El IEC como una herramienta estratgica.
El IEC debe mejorar su promocin, marketing y comunicacin esforzando con los
tomadores de decisiones en la industria, gobiernos, reguladores y las
organizaciones intergubernamentales sobre los beneficios estratgicos de los
productos y servicios de IEC y de participar en su desarrollo y utilizacin. Entre
los reguladores y los pases en desarrollo, se prestar especial atencin a la
importancia de adoptar y en referencia a las normas IEC y de la utilizacin de
sistemas de evaluacin de la conformidad de la IEC. Adems, el IEC ampliar su
cooperacin y comunicacin con esfuerzos en los crculos acadmicos, as como
en la industria para desarrollar y proporcionar materiales educativos para el
personal tcnico y directivos. Estos programas se centrarn en el desarrollo, uso
y valor estratgico para negocio de las normas internacionales IEC, los sistemas
de evaluacin de la conformidad y otros servicios.
El IEC se encargar de dirigir en la evaluacin emergentes y convergentes
tecnologas y la identificacin de nuevas reas para el desarrollo de normas.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 39 -
Reconociendo que la industria se centran en torno a la mayora de la relacin
costo efectiva de las estructuras de la normalizacin que pueda influir o controlar,
la IEC seguir desarrollando mecanismos efectivos, herramientas y procesos
innovadores para servir a los mercados en rpido movimiento a travs de
relaciones con los consorcios y ampliado foros y con funcionarios de desarrollo
social relevantes que han alcance global.
Con el fin de satisfacer mejor las necesidades del mercado, el IEC considerar
alternativas al modelo de negocio como el establecimiento de una unidad de IEC a
s mismo, separado de la estructura existente para todo el consenso de Normas
Internacionales, a desarrollar y publicar los documentos de consenso y la limitada
disposicin de otros servicios a los consorcios. Industria se anima a asumir el
liderazgo, que participa directamente en la direccin y los niveles tcnicos.
3.2.6 Alcance mundial
El IEC seguir fomentando la participacin de las nuevas industrializaciones y
economas en transicin en la familia IEC. Los pases candidatos se identificarn y
se facilitar la pertenencia para los que quieran y poder
(a) promover y apoyar la aplicacin nacional de la IEC y sustituir
progresivamente las normas nacionales divergentes (debido a que estn
confusas o no estn de acuerdo);
(b) para formar un comit nacional plenamente representativo
electrotcnico, (c) participar activamente en los trabajos tcnicos.
Para lograr su misin de facilitar el comercio internacional, el IEC aplicara su
poltica de importancia a nivel mundial para maximizar la aceptacin a nivel
mundial y la adopcin de las normas IEC armonizado a nivel mundial que
satisfagan las necesidades de todos los principales mercados.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 40 -
A fin de maximizar la armonizacin mundial de las normas IEC y apoyar sistemas
de evaluacin de conformidad, el IEC se desarrollar y mejorar las relaciones con
las conformidades internacionales de los organismos de evaluacin.
3.2.7 Innovacin y valor aadido
El IEC sigue respondiendo a las necesidades del mercado en forma oportuna y
rentable, el desarrollo y la mejora de herramientas y servicios para ahorrar tiempo
y costo. Esto se devolver para facilitar las inversiones en proyectos futuros y
servicios para el beneficio de los usuarios y los estndares de desarrollo.
En particular, la comisin electoral independiente colaborar con los comits
nacionales para proporcionar liderazgo en el desarrollo y suministro de
innovadores y eficaces herramientas informticas necesarias para la
normalizacin de la comunidad entera.
Al tratar de agregar valor para el mercado salvaguardando al mismo tiempo las
fuentes de ingresos para el futuro, el IEC en conjunto con los comits nacionales
investigar y evaluarn una serie de nuevos servicios de informacin. El objetivo
ser facilitar el acceso al mercado de la informacin electrotcnica relacionada con
las normas de mltiples fuentes, en especial los comits nacionales, a travs de
un nico, integrado e interfaz de usuario.
3.2.8 Mejora y sostenimiento
El IEC continuar su prudente gestin financiera, el mantenimiento del saldo de
los ingresos por ventas entre el comit nacional y la oficina central para
salvaguardar la estabilidad financiera de la pertenencia al tiempo que garantiza los
recursos necesarios para las operaciones centrales y las inversiones.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 41 -
El IEC mejorar an ms la cooperacin con ISO en las polticas, procedimientos
y procesos. Tambin se identificarn y perseguirn nuevas reas para la
cooperacin con la ISO (por ejemplo, servicios de subcontratacin o tareas entre
la IEC y las secretaras de la ISO), que aumentara las eficiencias de las
secretaras y beneficiaria a las comunidades de las organizaciones en su conjunto,
mientras que respetando la integridad de cada organizacin y el mantenimiento de
una eficiente, operacin independiente IEC para servir mejor a los mercados de la
IEC.
El IEC trabajar en estrecha colaboracin con la ISO para desarrollar una poltica
coherente enfoque de los derechos de propiedad intelectual.
El IEC continuamente adaptar sus estructuras y procesos internos, que deseen
adquirir la mejor informacin y recursos de calidad de interesados, en particular la
industria, para dar prioridad a los trabajos tcnicos y mantener su calidad y a la
vez cumplir con los requisitos de mercado para la eficiencia de costes y plazos.
El IEC procurar reforzar los recursos directos de mercado a las Juntas del Sector,
la revisin sistemtica de los mecanismos de funcionamiento de la Justas del
sector y la adaptacin de su cobertura de sectores especficos, segn sea
necesario. El objetivo ser aumentar la participacin de la industria y la toma de
decisiones, especialmente en lo que se refiere a las actividades de IEC con los
consorcios y foros, en desarrollo o mejora de procesos para identificar los criterios
de mercado para los productos de IEC y los servicios de mejor satisfacer las
necesidades del usuario.
El IEC continuar mejorando la calidad y eficiencia del desarrollo de la estructura
de sus normas. Alternativa participacin de los interesados y el documento de
modelos de aprobacin, as como las estructuras del comit tcnico.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 42 -
El IEC estudiar los medios por los que podrn seguir para optimizar la
estructura, la gobernanza, la gestin y el funcionamiento eficaz de sus sistemas
de evaluacin de la conformidad para satisfacer las necesidades del mercado,
para garantizar recursos de dichos regmenes y para apoyar la labor de
normalizacin en el que se basan.
3.3 ISO
3.3.1 Historia
ISO surgi en Ginebra (Suiza), su principal objetivo era la unificacin de los
estndares industriales y facilitar la coordinacin internacional.
La ISO es una organizacin no gubernamental que forma un puente entre los
sectores privados y pblicos. Su objetivo consiste en publicar y desarrollar
estndares internacionales al resto del mundo. Hay que destacar que las siglas
ISO, provienen del griego (isos), 'igual'. Adems la ISO consiste en una red
de los institutos de normas nacionales de 160 pases (y posiblemente vaya en
aumento segn pase el tiempo) Cabe destacar que todas las normas
desarrolladas por ISO son siempre voluntarias ya que la ISO es un organismo no
gubernamental y no depende de ningn otro organismo internacional, por lo que
no tiene autoridad y por tanto no puede imponer a un pas. Respecto a su
organizacin se divide en tres clases las cuales son las siguientes:
Miembros natos
Miembros correspondientes
Miembros suscritos
Existe una cuarta clase que simplemente son aquellos los cuales no son
miembros de la ISO.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 43 -
3.3.2 Quin trabaja en ISO?
El trabajo de ISO es muy descentralizado, se lleva a cabo mediante una jerarqua
de unos 2850 comits tcnicos, trabajos en grupo y otros subcomits. En estos
comits los representantes de las industrias, consumidoras, autoridades
gubernamentales y organizaciones internacionales de todo el mundo trabajan
juntos con el fin de obtener una resolucin con todos de acuerdo de los problemas
de estandarizacin a nivel global.
3.3.3 Plan estratgico 20052010 de la ISO
Prlogo
El Plan Estratgico 20052010 esboza la visin global de la organizacin en 2010,
junto con los siete objetivos estratgicos establecidos para satisfacer las
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 44 -
expectativas de sus miembros y las partes interesadas y los resultados ISO espera
alcanzar.
Este plan estratgico identificar las acciones que deben adoptarse o emprender
para lograr estos resultados. Se ha elaborado tras una amplia consulta de los
interesados, a travs de los miembros de ISO, y de las principales organizaciones
internacionales con las que colabora la norma ISO.
Visin global de la ISO en 2010
La ISO tiene los siguientes puntos a contemplar:
La facilitacin del comercio mundial
Mejora de la calidad, seguridad, medio ambiente y proteccin de los
consumidores, as como el uso racional de los recursos naturales
Difusin global de las tecnologas y de las buenas prcticas,
Contribuir al progreso econmico y social.
A travs de la red y la colaboracin de sus miembros los organismos nacionales,
enlaces internacionales, la cooperacin regional y las organizaciones asociadas,
ISO constituye una plataforma lder para la produccin de mercado de referencia a
nivel mundial y estndares internacionales. Los mecanismos de ISO, la creacin
de consenso, la cobertura multisectorial y la capacidad de difundir de manera
eficiente y promover su gama de productos son reconocidos y que se basa la
industria, autoridades pblicas, consumidores y otros interesados, lo que ayudar
a materializar el objetivo de "una norma, una prueba y un procedimiento de
evaluacin de la conformidad aceptada por todos. De esta manera, ISO
contribuye a una economa mundial ms eficiente y sostenible.
-
UNIVERSIDAD FRANCISCO GAVIDIA-CRO
AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 45 -
Objetivos de la ISO para el 2010
La ISO tiene una serie de objetivos los cuales son los siguientes:
El desarrollo de una colecci