TRABAJO FINAL ASIC.pdf

UNIVERSIDAD FRANCISCO GAVIDIA-CRO

FACULTAD DE INGENIERIA Y

FACULTAD DE CIENCIAS ECONMICAS

CATEDRTICO:

LIC. MARIO ALFREDO GUEVARA AGUILAR

PROCESO DE IMPLEMENTACIN Y

CERTIFICACION DE LA NORMA ISO 27000

CTEDRA

AUDITORIA DE SISTEMAS COMPUTACIONALES

GRUPO: 01

INTEGRANTES:

DURAN TREJO, DAVID ALFREDO DT200109

GUTIRREZ GONZLEZ, ERIKA GUADALUPE GG200105

MENDOZA, TERESA FABIOLA MM200105

VANEGAS, KEVIN ROLANDO VC200109

ENTREGA: DICIEMBRE 4 DE 2013


AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina II

Contenido Introduccin ....................................................................................................................................... VI

Objetivos ......................................................................................................................................... - 1 -

Objetivo General ......................................................................................................................... - 1 -

Objetivos Especficos ................................................................................................................... - 1 -

Alcances Y Limitaciones................................................................................................................... - 2 -

Alcances ....................................................................................................................................... - 2 -

Limitaciones ................................................................................................................................ - 2 -

Captulo I: Seguridad Informtica ................................................................................................... - 3 -

1.1 Introduccin Seguridad Informtica ..................................................................................... - 3 -

1.2 Seguridad Ambiental ............................................................................................................. - 5 -

1.2.1 Terremotos ..................................................................................................................... - 5 -

1.2.2 Inundaciones ................................................................................................................. - 6 -

1.2.3 Fuegos (incendios) .......................................................................................................... - 6 -

1.2.4 Tormentas elctricas ...................................................................................................... - 7 -

1.2.5 Picos de tensin ............................................................................................................. - 7 -

1.2.6 Back Up ........................................................................................................................... - 8 -

1.3 Seguridad Lgica ................................................................................................................... - 8 -

1.3.1 Controles de acceso al sistema ...................................................................................... - 9 -

1.3.2 Niveles de seguridad informtica ................................................................................. - 11 -

1.4 Seguridad Fsica ................................................................................................................... - 13 -

1.4.1 Acceso fsico al sistema ................................................................................................ - 14 -

1.5 Sistemas De Seguridad ........................................................................................................ - 15 -

1.5.1 Autentificacin del personal ........................................................................................ - 15 -

1.5.2 Para qu sirve identificarse? ...................................................................................... - 15 -

1.5.3 Por qu estaran interesados en destruir o robar datos de la entidad? .................... - 15 -

1.5.4 Quines estaran interesados en destruir o robar datos de la entidad? .................... - 16 -

Hackers: ............................................................................................................................. - 16 -

Crackers: ............................................................................................................................ - 16 -

Empleados de la misma entidad ....................................................................................... - 16 -

Compaas competidoras .................................................................................................. - 17 -


AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina III

Por lo que se tiene ............................................................................................................. - 17 -

Tarjetas magnticas .......................................................................................................... - 17 -

Tarjetas electrnicas ......................................................................................................... - 18 -

Por lo que se sabe ............................................................................................................. - 19 -

Contraseas ....................................................................................................................... - 19 -

Consejos a la hora de elegir contraseas .......................................................................... - 20 -

Como proteger una contrasea ........................................................................................ - 21 -

Por lo que es (Biometra)................................................................................................... - 22 -

Criptografa ........................................................................................................................ - 24 -

Capitulo II: Auditoria Informtica .................................................................................................. - 25 -

2.1 Qu es una auditora? ....................................................................................................... - 25 -

2.2 Etapas de la auditora general ............................................................................................. - 25 -

2.2.1 Estudio General: ........................................................................................................... - 25 -

2.2.2 Las condiciones Econmicas y del Sector de la Empresa. ............................................ - 26 -

2.2.3 La estructura de dicha Organizacin ............................................................................ - 26 -

2.2.4 Su estructura Legal y Operaciones. .............................................................................. - 26 -

2.2.5 Ejecucin de la Auditora .............................................................................................. - 27 -

2.2.6 Informe Final ................................................................................................................ - 28 -

2.3 Cundo realizar una Auditora y por qu?......................................................................... - 28 -

2.3.1 Razones Externas.......................................................................................................... - 28 -

2.3.2 Razones internoexternas ............................................................................................ - 29 -

2.3.3 Auditor informtico ...................................................................................................... - 30 -

2.3.4 Auditoria informtica ................................................................................................... - 32 -

2.3.5 Pruebas en la auditora ................................................................................................ - 32 -

2.4 Cundo realizar la auditora? ............................................................................................ - 32 -

2.5 Objetivo de la auditora informtica ................................................................................... - 33 -

Capitulo III: Qu Es Una ISO/IEC? ................................................................................................ - 35 -

3.1 Introduccin ........................................................................................................................ - 35 -

3.2 IEC ........................................................................................................................................ - 36 -

3.2.1 Historia ......................................................................................................................... - 36 -

3.2.2 Visin ............................................................................................................................ - 36 -


AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina IV

3.2.3 Misin ........................................................................................................................... - 36 -

3.2.4 Importancia del mercado ............................................................................................. - 37 -

3.2.5 El IEC como una herramienta estratgica. ................................................................... - 38 -

3.2.6 Alcance mundial ........................................................................................................... - 39 -

3.2.7 Innovacin y valor aadido .......................................................................................... - 40 -

3.2.8 Mejora y sostenimiento ............................................................................................... - 40 -

3.3 ISO ....................................................................................................................................... - 42 -

3.3.1 Historia ......................................................................................................................... - 42 -

3.3.2 Quin trabaja en ISO? ................................................................................................. - 43 -

3.3.3 Plan estratgico 20052010 de la ISO .......................................................................... - 43 -

Prlogo .............................................................................................................................. - 43 -

Visin global de la ISO en 2010 ......................................................................................... - 44 -

Objetivos de la ISO para el 2010 ....................................................................................... - 45 -

3.4 ISO/IEC JTC1 ........................................................................................................................ - 47 -

3.4.2 Repercusiones de sus puntos dbiles .......................................................................... - 51 -

3.4.3 Posibles soluciones ....................................................................................................... - 51 -

3.4.4 Preparacin para la implementacin de las normativas en una entidad .................... - 52 -

Cultura madura ................................................................................................................. - 52 -

Cultura inmadura .............................................................................................................. - 53 -

Diferencias de gerencias (respecto a la cultura inmadura y la madura) ........................... - 54 -

Condiciones para la implementacin de una normativa llegue a buen puerto. ............... - 55 -

Problemas que surgen en la implantacin de la normativa .............................................. - 58 -

3.5 ISO/IEC 27004 ...................................................................................................................... - 60 -

3.5.1 Introduccin ................................................................................................................. - 60 -

3.5.2 El porqu de la ISO 27001? ........................................................................................ - 62 -

Las mediciones .................................................................................................................. - 64 -

Modelo de las mediciones ................................................................................................ - 65 -

Mtodo de las mediciones ................................................................................................ - 67 -

Seleccin y definicin de las mediciones. ......................................................................... - 68 -

Plan-Do-Check-Act (PDCA) ................................................................................................ - 71 -

3.5.3 Cuadro de mando ......................................................................................................... - 75 -


AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina V

Qu es un cuadro de mando? ......................................................................................... - 75 -

Cmo implantar un cuadro de mando correcto en una entidad? .................................. - 76 -

Capitulo IV: Proceso de Implementacin y Certificacin de la Norma ISO 27000 ........................ - 79 -

4.1 Implantacin del SGSI.......................................................................................................... - 79 -

Empresas que certifican en la ISO 27001. ..................................................................................... - 88 -

AENOR.. ............................................................................................................................. - 88 -

Informacin para certificar con AENOR. ............................................................................... - 89 -

Parte legal para certificacin con AENOR. ............................................................................ - 94 -

Conclusin ................................................................................................................................... - 101 -

Recomendaciones ....................................................................................................................... - 102 -

Bibliografa .................................................................................................................................. - 103 -

Anexos ......................................................................................................................................... - 104 -

Anexo 1: Reglamento Particular De Certificacin De Sistemas De Gestin De Seguridad De La

Informacin RP-CSG-08.00 ...................................................................................................... - 104 -

Anexo 2: Solicitud de Certificacin .......................................................................................... - 107 -

Anexo 3: Preguntas y respuestas frecuentes sobre Certificacin de la ISO. ........................... - 115 -

1. Norma ISO 27001 ............................................................................................................ - 115 -

2. SGSI .................................................................................................................................. - 124 -

3. Certificaciones ................................................................................................................. - 128 -

Apndices .................................................................................................................................... - 132 -

Apndice A: ............................................................................................................................. - 132 -

Apndice B: ............................................................................................................................. - 133 -

Glosario ....................................................................................................................................... - 134 -


AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina VI

Introduccin

Cada da la tecnologa va tomando parte del diario vivir, debido a las alternativas

diversas que ella nos ofrece. Dentro de las nuevas tecnologas es necesario

contar con mtodos de legalidad y como instrumento para que los procesos o

actividades que se desarrollen sean avalados no solo por la alta gerencia sino

tambin por instituciones internacionales.

Como bien se conocen la gran gama de ISO, que existen actualmente para cada

actividad dentro de una empresa.

Dentro de las cuales tomaremos; La serie de normas ISO/IEC 27000 las cuales

son estndares de seguridad publicados por la Organizacin Internacional para la

Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC).

Esta serie contiene las mejores prcticas recomendadas en Seguridad de la

informacin para desarrollar, implementar y mantener Especificaciones para los

Sistemas de Gestin de la Seguridad de la Informacin (SGSI). La mayora de

estas normas se encuentran en preparacin.

Dentro del desarrollo de este contenido mencionaremos ms de lo que trata su

implementacin y todas las caractersticas y patrones con que la empresa debe

cumplir.


AUDITORIA DE SISTEMAS COMPUTACIONALES Pgina - 1 -

Objetivos

Objetivo General

Conocer el proceso de implementacin y certificacin de la ISO 27000 en

las empresas, en el rea de seguridad informtica.

Objetivos Especficos

Proporcionar a las empresas los lineamientos ms detallados de los

procesos que se deben cumplir, para la implementacin de la norma ISO

27000.

Conocer ms a fondo los beneficios y garantas que ofrece esta ISO.

Detallar los aspectos que la empresa debe tener para optar por su

implementacin.



Alcances Y Limitaciones

Alcances

Dar a conocer un mejor entendimiento de los procesos por medio de las

partes interesadas en su Implementacin.

Proporcionar las ventajas de poseer un mecanismo de seguridad

informtica.

Limitaciones

Conocimiento prctico limitado en nuestro mbito.

Incomprensin por constantes actualizaciones y aplicaciones nuevas dentro

de la ISO 27000.



Captulo I: Seguridad Informtica

1.1 Introduccin Seguridad Informtica

Cuando hablamos de seguridad se piensa que es una especie de clase donde el

equipo informtico est libre de cualquier tipo de ataque que pueda ocasionar

daos tanto a la infraestructura de una empresa o entidad que puede provocar en

el peor de los casos la prdida de la informacin necesaria para la empresa.

Se podra imaginar bancos en los cuales se pierda la informacin de cuentas

corrientes, aseguradoras que pierden clientes, hospitales en los cuales se pierdan

registros de pacientes, y todo ello por no tener un mnimo de seguridad? Si eso

llegase a ocurrir el mundo sera un completo caos a nivel global.

Por tanto para que un sistema pueda estar seguro debe de tener las siguientes

principales caractersticas las cuales son esenciales para tener seguridad ante

posibles errores o ataques que puedan surgir:

Confidencialidad: Con esta caracterstica se consigue que la informacin que se

est salvaguardando slo pueda ser legible por parte de los usuarios autorizados

e impidiendo que sea legible por terceros.

No Repudio: Consiste en que si dicha informacin es modificada o simplemente

ha sido legible por parte de los usuarios autorizados quedar registrado,

obteniendo as que el usuario autorizado no podr negar dicho uso, debido a dicho

registro

Integridad: La informacin que se est salvaguardando solo podr ser modificada

por usuarios autorizados.



Disponibilidad: Debe de estar presente en cualquier momento para la utilizacin

de los usuarios.

Adems de estas caractersticas se puede decir que no existe la seguridad total,

ya que es una utopa, simplemente lo que se puede hacer es reducir los posibles

errores que tenga la seguridad, nadie ni nada garantiza la seguridad total, solo se

puede saber si la seguridad es alta, media o baja, pero no garantiza que puedan

existir huecos por los cuales pueda peligrar la informacin de la entidad.

La informacin es el centro de poder de la mayora de entidades, como por

ejemplo los bancos, no existe el dinero fsico, disminuyen los registros en papel, o

por ejemplo las fichas fsicas de los historiales de los pacientes de cualquier

hospital estn siendo transferidas a bases de datos, toda la informacin est

centralizada y tiene un grandsimo valor, al fin al cabo, es lo que aparece en las

pantallas de los ordenadores, son datos, son informacin y sin ella no se tiene

absolutamente nada. Por tanto quien controle dicha informacin podr controlar

aquello que representa. Hay que destacar que dicha informacin que se tiene

puede ser robada, modificada y usada en beneficio propio, son estas cosas por las

cuales la informacin debe de estar asegurada de que nunca salga de la entidad y

caiga en manos ajenas.

Al fin al cabo la informacin es poder. Y por tanto es crtica para la entidad ya que

a partir de ella se toman decisiones a corto, medio y largo plazo, debe de ser

conocida solo por las personas autorizadas de la entidad y por ltimo es

totalmente importante ya que es el activo de la empresa, es decir lo es todo.

Adems la seguridad de la informacin se expande desde la identificacin de

problemas, confidencialidad, integridad, comunicacin, anlisis de riesgos hasta la

recuperacin de dichos riesgos.



La seguridad de la informacin tiene como objetivo la proteccin de los datos y de

los sistemas de informacin de su uso y acceso, que va desde su interrupcin,

destruccin no autorizada, corrupcin o su divulgacin.

1.2 Seguridad Ambiental

Cuando se habla de seguridad ambiental se refiere a los procedimientos,

procesos y controles con el fin de controlar los efectos de la naturaleza, los cuales

pueden daar seriamente a los equipos informticos, personal de la entidad y lo

ms importante los datos de la empresa. Estos efectos de la naturaleza pueden

ser: terremotos, inundaciones, fuegos, tormentas elctricas, picos de tensin, etc.;

1.2.1 Terremotos

Los terremotos o sismos son una serie de sacudidas del terreno debido al choque

entre las placas tectnicas y tambin a la liberacin de energa en el curso de una

reorganizacin brusca de los materiales de la corteza terrestre debido a superar el

estado de equilibrio mecnico.

Respecto a la hora de invertir en estas medidas, depende mucho de la situacin

geogrfica de la entidad, por ejemplo, si se estuviera en un pas como Japn

donde los terremotos estn a la orden del da sera totalmente necesaria y

fundamental dicha inversin, pero si fuese como en el caso de Espaa, donde

nunca se da ningn terremoto importante ya que sus posibilidades son mnimas,

dichas inversiones sern menores.

En este caso se recomienda no situar los equipos o sistemas informticos cerca

de las ventanas o en superficies altas por miedo de sus posibles cadas, se

recomienda el uso de fijaciones. Por supuesto tampoco se debe colocar objetos

pesados encima de los equipos por miedo a provocar daos en dichos equipos.

Tambin se recomienda el uso de plataformas de goma las cuales absorben parte

de las vibraciones generadas por los terremotos, adems del uso de mesas anti



vibraciones ya que sin ellas podran daar los discos duros donde se guarda la

informacin vital.

1.2.2 Inundaciones

Las inundaciones consisten en la ocupacin del agua en zonas que estn libres de

ella, esto es debido por el desbordamiento de ros, subida de mareas, o por

avalanchas causadas por maremotos.

Estos problemas son graves ya que son los que ms dao hacen a la entidad, ya

que cualquier sistema elctrico en contacto con el agua, puede ser mortal para los

empleados de la entidad y se perder toda la ltima informacin obtenida adems

de la prdida del equipo electrnico ya que dejar de funcionar y no tendr

reparacin alguna.

Adems nunca habr que ponerse en contacto fsicamente con los equipos

electrnicos ya que su contacto sera mortal para los empleados de la entidad.

Se recomienda el uso de detectores de agua los cuales al dispararse la alarma

corten automticamente la corriente elctrica para evitar males mayores.

Para su detencin se recomienda avisar a las autoridades necesarias (bomberos,

polica, etc.) con el fin de terminar con dicho problema, ya que tendrn que cortar

la corriente elctrica, en caso de que el sistema de seguridad de la empresa no

haya podido hacerlo. Nunca deber de hacerlo personal de la entidad.

1.2.3 Fuegos (incendios)

El fuego consiste en una reaccin qumica de una oxidacin violenta de una

materia combustible, provocando desprendimiento de llamas, vapor de agua,

dixido de carbono y calor. Es un proceso exotrmico.

Los fuegos son ocasionados por cortocircuitos, cigarros mal apagados, etc., y

estos ocasionan gravsimos daos tanto materiales como personales.



Se recomienda el uso de alarmas, las cuales al detectar fuego o humo, se activan

directamente los extintores que estn situados en el techo y avisan a las

autoridades con el fin de evitar males mayores.

Se recomienda el uso de alarmas, las cuales al detectar fuego o humo, se activan

directamente los extintores que estn situados en el techo y avisan a las

autoridades con el fin de evitar males mayores.

Tambin es necesario el uso de extintores de mano que estn repartidos por toda

la entidad. Adems al lado de estos extintores deben existir carteles anunciado su

presencia e indicando su situacin.

1.2.4 Tormentas elctricas

Las tormentas elctricas consisten en fenmenos atmosfricos los cuales pueden

ocasionar graves daos fsicos a la entidad, estos daos pueden ser desde fuegos

ocasionados por las tormentas hasta picos de tensin los cuales pueden

destrozar los equipos informticos con sus respectivos datos.

Se recomienda el uso de pararrayos, estos consisten en una varilla de metal,

puesta en el tejado o en la parte ms elevada del edificio de la entidad, la cual

tiene un cable de cobre que va a aparar a una plancha del mismo metal

introducida a unos metros bajo tierra. En caso de que un rayo toque el pararrayos

este de descargar al tocar tierra. Evitando posibles daos.

Adems se recomienda que las copias de seguridad que se realicen estn

siempre alejadas de las estructuras metlicas del edificio de la entidad.

1.2.5 Picos de tensin

Los picos de tensin son otros problemas que puede tener cualquier entidad y

consiste en una sobrecarga en la corriente elctrica, los cuales pueden provocar

pequeos daos a nuestros equipos informticos.



Se recomienda el uso de SAIs, los cuales consisten como dicen sus siglas en un

Sistema de Alimentacin Ininterrumpida, gracias a estos dispositivos en caso de

que exista un pico de tensin mantendr al equipo en un estado a salvo de

cualquier posible dao.

1.2.6 Back Up

Un back Up consiste en una copia de seguridad en formato digital de la

documentacin de los datos de la entidad, es un conjunto de archivos, los cuales

son almacenados con el fin de protegerlos ante cualquier dao interior o exterior a

la entidad.

Estas copias de seguridad son tiles, ya que nos sirven para restaurar un equipo

informtico despus de haber ocurrido un ataque, desastre para recuperar

archivos que hayan sido borrados sin querer.

1.3 Seguridad Lgica

Consiste en que los procedimientos de seguridad sirven para saber quin, cmo y

cundo un usuario accede a una parte de la informacin, por tanto sus

procedimientos sirven para controlar dicho acceso lgico, y en caso de que no sea

el usuario adecuado para la informacin, el sistema bloquear dicha informacin,

para ello incluir barreras y controles que protejan el acceso de los datos a

terceras personas que no tengan la autorizacin necesaria.

Para ello se realiza una serie de puntos clave para la seguridad lgica:

En caso de problemas en la transmisin debe de haber un proceso de

emergencia con el fin de que la informacin pueda llegar hasta el

destinatario.



Comprobar que los empleados que usen dichos archivos y programas

puedan estar trabajando sin necesidad de una supervisin y que a la vez no

sean capaces de cambiar o modificar los archivos y programas que no les

corresponden como empleados.

La informacin recibida por el destinatario, tiene que ser la misma que la

que fue enviada desde el origen.

Limitar el acceso a los archivos y programas de la entidad.

Sostener que los empleados que estn utilizando los archivos, programas y

los datos estn siendo utilizados en el procedimiento correcto y no por

otros.

Toda la informacin transferida solo puede ser recibida por el destinario

real, y no a terceros, ya que esto sera un grave problema en la entidad.

Deben de existir diferentes caminos de transmisin entre diferentes puntos.

1.3.1 Controles de acceso al sistema

Los controles de acceso son una herramienta totalmente necesaria y bsica para

tener un mnimo de seguridad lgica en la entidad. Adems son de una gran

ayuda ya que protegen al sistema respecto a modificaciones no consentidas,

mantienen la integridad de la informacin, protegen las aplicaciones que se utilizan

y protegen la informacin respecto a empleados que no tienen el acceso necesario

para ello.



Cabe destacar que el (NIST)1 ha compilado los requisitos mnimos que debe de

tener cualquier sistema de seguridad:

Identificacin y autentificacin del personal.

Los roles: Consiste en que el acceso a la informacin por parte del

empleado se controla con diversos roles que pueda tener, para cada uno

tendr una serie de privilegios o restricciones dependiendo de cul sea.

Modalidad de acceso: Consiste en el modo de acceso que puede tener un

empleado de la entidad respecto a unos determinados recursos, el usuario

puede tener cualquiera de los siguientes modos o todos ellos dependiendo

del grado de acceso que tenga:

Lectura: en este caso solo podr leer y visionar el documento.

Escritura: solo podr modificar dicho documento.

Borrado: ser capaz de eliminar el documento.

Ejecucin: permite el acceso al programa.

Las transacciones: Los controles se pueden desarrollar a travs de dichas

transacciones, un ejemplo de esto puede ser que para realizar una

determinada transaccin se solicite una clave determinada.

Limitando los servicios: Este control se centra en las posibles restricciones

que pueden existir dependiendo de la aplicacin o datos utilizados, todo ello

establecido por el administrador del sistema que pone dichas restricciones.

1 National Institute of Standards and Technology



Horario y Ubicacin: En este caso el empleado solo podr acceder a los

recursos en determinadas horas del da y en determinados equipos

informticos de la entidad.

Control de Acceso Interno: Como su nombre indica consiste en un control

que se realiza centrado para un posible ataque desde el interior de la

entidad, consiste en uso de contraseas, listas de acceso, cifrado de los

datos, etc.

Control de Acceso Externo: Sirve para prevenir un ataque desde el exterior,

para ello se utilizan cortafuegos (firewalls), dispositivos de control de

puertos, etc.

Administracin: En esta parte consiste en realizar una correcta

implementacin, pruebas, seguimientos y modificaciones sobre los accesos

de los usuarios a los sistemas de la entidad.

1.3.2 Niveles de seguridad informtica

Los niveles de seguridad utilizados mundialmente por todas las entidades

consisten en la ISO 15408 en referencia a las normas de seguridad en los equipos

informticos del Departamento de Defensa de los Estados Unidos.

Cada nivel tiene una serie de caractersticas las cuales describen un nivel de

seguridad, estos van desde un nivel mnimo de seguridad hasta el mximo.

Dichos niveles fueron la base para el desarrollo de los estndares internacionales

ISO/IEC.

A continuacin se explican todos los niveles:



Nivel D: Este es el nivel mnimo en el cual solo tiene una divisin y est

guardada para los sistemas que hayan sido evaluados y por supuesto no

cumplen con ninguna especificacin de seguridad. En este caso no hay

autentificacin con respecto a los usuarios y por tanto no hay proteccin

referente al acceso de la informacin.

Nivel C1: En este nivel se precisa de una identificacin por parte de los

usuarios para permitir el acceso de informacin, de la cual no se obtena en

el Nivel D. A partir de ahora se hace la distincin entre los usuarios del

sistema y el administrador del sistema, quien tendr un control de acceso

total al sistema. En referencia al nivel C1, podrn existir grupos de usuarios

con iguales privilegios as como grupos de recursos, respecto de los cuales

podr actuar el grupo de usuarios.

Nivel C2: Este nivel sirve para solucionar las flaquezas que tiene el nivel

C1. Consiste en restringir a los usuarios que ejecuten ciertos comandos o

que tengan el acceso a ciertos archivos. Los empleados tienen autorizacin

para poder hacer algunas tareas de administrador sin tener que ser

administradores. Ayudan a mejorar las cuentas de las tareas centradas con

la administracin de sistema.

Nivel B1: El nivel B se divide en 3, este es el primero de ellos, en este caso

es capaz de soportar seguridad multinivel, como la secreta y ultra secreta.

Se consolida que el dueo del archivo no puede ser capaz de modificar los

permisos de un objeto que est bajo el control de acceso obligatorio. El

usuario que quiere acceder a un determinado objeto deber tener un

permiso para hacerlo. Consiste en que cada usuario tendr unos objetos

asociados.



Nivel B2: Consiste en que cada objeto de nivel superior se etiquete por ser

padre de un objeto de nivel inferior. En esta parte del sistema, avisar y

alertar a los usuarios si sus caractersticas de seguridad y acceso han sido

modificadas.

Nivel B3: En este nivel se necesita que la terminal del usuario debe

conectarse al sistema a travs de una conexin segura. Adems aumenta

a los dominios con la instalacin de hardware. Por ltimo el usuario tiene

asignados los objetos y los lugares a los que puede acceder para

conectarse.

Nivel A: Es el nivel mximo, para poder llegar a este punto de seguridad, se

deben de incluir todos los niveles anteriores. Por supuesto al ser el nivel

ms alto tiene un proceso de diseo, control y verificacin mediante

mtodos o procesos matemticos, para garantizar todos los procesos que

realiza un usuario sobre el sistema de la entidad. Por ltimo debe de existir

proteccin para que tanto el hardware como el software no tengan

infiltraciones ante posibles movimientos del equipo.

1.4 Seguridad Fsica

Respecto a la seguridad fsica son procesos que existen y sirven para controlar el

acceso fsico al equipamiento informtico. Para ello se usarn cmaras de video,

puertas de acceso con tarjetas, etc. Por ejemplo, si visitamos las oficinas de

cualquier edificio de una gran empresa se observara cmo tendrn desde la

entrada principal del edificio un control para saber quin entra y quin sale, y todo

ello automatizado y controlado.



1.4.1 Acceso fsico al sistema

Por mucha seguridad que se tenga en el sistema a la hora de acceder a l, no

sirve de nada si adems no se es capaz de tratar la seguridad del acceso fsico al

sistema, por lo tanto cualquier extrao que entrase en la empresa podra abrir

cualquier CPU de la entidad y llevarse fsicamente los discos duros con

informacin importante.

Se debe de garantizar la seguridad fsica ya que tambin puede ser un agujero de

seguridad de acceso a datos, por lo tanto para poder prevenir casos de intrusin y

robo se recomienda el uso de diferentes sistemas de prevencin, cada uno

depende de la inversin que se quiere realizar para la seguridad. Estos son los

siguientes:

Sistemas de prevencin Inversin

Uso de hardware, desde analizadores

de retina, uso de videocmaras, uso

de control de puertas, personal de

seguridad en el edificio, etc.

Alta

Uso de lectores de cdigo, con el fin

de saber quin entra y quin sale en

cada determinada sala de la entidad

con el fin de tener un control sobre su

acceso.

Media

Bloquear los tomas de red que no son

utilizadas as como los cables de red

para evitar pinchazos por terceras

personas, cerrar todas las puertas con

llave al salir.

Baja



1.5 Sistemas De Seguridad

1.5.1 Autentificacin del personal

Esto consiste en la verificacin del personal de la empresa, es decir en confirmar

que el usuario que va a usar y manejar los datos es el usuario que se cree que es.

Para acceder a un sistema lo ms comn es utilizar una contrasea o incluso dos

para controlar el rango de acceso, aun as existen otras tcnicas que hacen lo

mismo, y estas se dividen en tres clases dependiendo el tipo de informacin que

se necesita para la autenticacin con el fin de obtener el acceso a los datos.

Por lo que se tiene: Es decir el uso de una tarjeta electrnica o magntica.

Por lo que se sabe: Este es el mtodo ms clsico, el uso de contrasea.

Por lo que se es: Biometra, es decir el uso de huellas digitales u otros

sistemas.

1.5.2 Para qu sirve identificarse?

La identificacin sirve para tener una barrera de seguridad mnima, con el fin de

evitar posibles daos a la entidad, adems con la identificacin se puede entrar en

el sistema con las caractersticas correspondientes como usuario.

1.5.3 Por qu estaran interesados en destruir o robar datos de la entidad?

Se puede responder a esta pregunta en una sola frase, Quien Tiene La

Informacin Que Controlar El Mundo, si se observa en el mundo alrededor se



comprobara que todo se almacena en bases de datos como por ejemplo, cuentas

bancarias, historiales clnicos, datos financieros, fichas policiales, inversiones,

Hacienda, etc.; hasta el punto de que por ejemplo un banco si quiere saber todo el

dinero que tiene no le sirve de nada contar el dinero fsico que tenga en las cajas

fuertes, sino el que se indica que tiene en su base de datos. Por lo tanto esa

informacin, que es bastante golosa para terceras personas, tiene que estar a

salvo de cualquier posible robo o destruccin de datos, estos son conocidos como

delitos informticos.

1.5.4 Quines estaran interesados en destruir o robar datos de la entidad?

Pueden ser desde, personas que no tienen ninguna relacin, pasando por

empleados de la misma compaa o compaas competidoras.

Personas sin relacin con la entidad, en este caso pueden ser de dos tipos:

Hackers: Son personas que atacan a la compaa con el nico objetivo de

encontrar brechas en el sistema de seguridad y obtener as solo el reconocimiento

personal de haber encontrado esa brecha de seguridad en el sistema.

Crackers: Son personas cuyo objetivo es encontrar esas brechas de seguridad

con el fin de obtener los datos de la entidad ya sea para robarlos para su beneficio

o destruirlos por puro placer y malicia, los cuales adems de utilizar sus

habilidades de informtica para romper los sistemas de la entidad son capaces de

colapsar los servidores, entrar a zonas restringidas de la entidad o compaa para

luego infectarlas y apoderarse de ellas.

Empleados de la misma entidad: En esta parte los mismos empleados pueden

atacar a su misma empresa por varias razones, despidos, maltrato por parte de los

jefes o compaeros, su nico objetivo ser corromper, modificar y destruir datos

de la entidad por pura venganza. Tambin es uno de los ms peligrosos debido a

que ellos tienen acceso a los datos y no se sospecha de ellos.



Compaas competidoras: Muchas empresas que compiten en el mismo

mercado que una entidad pueden llegar a hacer cualquier cosa con tal de

eliminarlos de su competencia, ya que los pueden ver como una seria amenaza

para ellos, por ello a veces algunas empresas (no todas), de forma ocasional,

pueden ser capaces de atacar, espiar o robar con tal de obtener una gran ventaja

respecto a su competencia en el mercado, aunque para ello realice un acto

delictivo. Se puede explicar con una frase En el amor y en la guerra todo vale, y

al fin al cabo a la hora de entrar en el mercado de las grandes empresas es una

guerra.

A continuacin se explican las tres clases que sirven para autenticacin:

Por lo que se tiene

Un tipo de seguridad para la identificacin del usuario es mediante el control y

comprobacin de un objeto que tiene la persona y que le identifica como tal

usuario y poseedor de dicho objeto, este objeto puede ser una tarjeta magntica o

una tarjeta electrnica. Para la identificacin de una persona a travs de un objeto

se suele utilizar alguna de estas dos clases de tarjeta, aunque ltimamente

empieza a estar en desuso la tarjeta magntica y est ganando adeptos la tarjeta

electrnica,

Tarjetas magnticas

Son una serie de tarjetas que almacenan datos a travs de una banda magntica

con la cual se pueden grabar datos en ella. Consiste simplemente en una tarjeta

de plstico a la cual se le aade una banda magntica en el proceso de su

fabricacin.

La banda magntica consiste en una banda oscura, la cual est formada por

partculas ferros magnticos insertados en una matriz de resina y que son capaces



de almacenar informacin a travs de una codificacin determinada que es capaz

de polarizar dichas partculas.

Dicha banda magntica es leda o grabada a travs del contacto fsico

introducindola a travs de una cabeza de escritura/lectura mediante la induccin

magntica.

Sus principales caractersticas son:

De bajo costo para la entidad

No son reutilizables, es decir si la tarjeta ha terminado de hacer su funcin

no puede ser utilizada para otra diferente, a menos que vuelvan a ser

grabada en ella nuevos datos.

Pueden ser ledas y grabadas todas las veces que se desea.

Aunque son capaces de almacenar informacin su capacidad es baja.

Tarjetas electrnicas

Consisten en ser una tarjeta de plstico igualmente que las tarjetas magnticas

con la diferencia de que se ha quitado la banda magntica y ha sido sustituida por

un chip que consiste en un microprocesador. Estas tarjetas son la evolucin de las

tarjetas magnticas, estas tarjetas electrnicas a las cuales al incorporar un

microprocesador consiguen tener mayor capacidad de procesamiento que las

magnticas adems de ser ms verstiles.

Las caractersticas de estas tarjetas se centran en lo siguiente:

Son resistentes al uso continuado.

Se pueden hacer varias aplicaciones con una misma tarjeta, cosa que no se

poda hacer con las tarjetas magnticas.

Los datos que contiene estn cifrados, adems del posible uso de un PIN.

Tiene una gran capacidad de almacenamiento.



Pueden ser reprogramadas.

Por lo que se sabe

Contraseas

Las contraseas sirven para verificar que el usuario que est accediendo al

sistema es dicho usuario y no terceras personas, ya que entonces se est

teniendo una grave brecha en la seguridad, para ello se realiza un proceso de

verificacin de la identidad del usuario en el cual se comprueba que es quien dice

ser. Aun as no existe una seguridad total, y por tanto se darn a conocer ms

adelante consejos necesarios para reducir esa posible brecha en la seguridad.

Adems el uso de contraseas sera para la entidad un pequeo costo, ya que es

lo ms barato y mnimo respecto a la seguridad.

En este caso existe un pequeo problema con el usuario y consiste en que si el

usuario tiene que recordar varias contraseas y ste no sea capaz de recordarlas

pueda ocurrir alguna de estas dos cosas:

Que apunte todas las contraseas en algn sitio, esto sera un grave error

ya que entonces estara en jaque toda la seguridad de nuestro sistema, y

por tanto estara en peligro nuestra informacin ya que si alguien encuentra

el papel donde estn apuntadas las contraseas producir una brecha

enorme en la seguridad.

Que al final el usuario decida poner la misma contrasea para todos los

accesos que necesita identificarse, en este caso, si alguien es capaz de

averiguar su contrasea podra entrar en cualquiera del resto de los

sistemas que quiera.



Para que no ocurran dichos problemas se recomienda mentalizar a los empleados

respecto al uso de sus contraseas.

Consejos a la hora de elegir contraseas

Para empezar se indicaran un par de consejos totalmente necesarios respecto a

las claves que hay que elegir.

Tienen que tener como mnimo 8 caracteres. Esto es debido a que si se

hiciera un ataque intentando escribir todas las contraseas posibles se

tardara un tiempo dependiendo de la longitud de la contrasea.

No utilizar una contrasea de acceso a un sitio para usarla en otro. Esto es

debido a que mucha gente utiliza la misma contrasea para multitud de

accesos provocando un gran riesgo en el caso en que se descubra ya que

estar en riesgo el acceso al resto de sitios.

Nunca usar contraseas numricas que tengan relacin con el usuario,

como puede ser, nmero de telfono, fecha de nacimiento o de alguna

fecha significativa, nmero de matrcula del coche, o el nmero de la lotera

que juega siempre, etc.

Toda contrasea debe de ser alfanumrica, es decir nmeros con letras y

adems intentar que algunas letras sean maysculas y otras minsculas,

adems de posibles smbolos.



Nunca utilizar palabras con significado o de un nombre personal, ya que

entonces nos pueden hacer un agujero en la seguridad con un ataque de

diccionario.

Como proteger una contrasea

La seguridad respecto a la hora de proteger una contrasea no solo recae en el

usuario que la tiene, y muchas veces solo echan la culpa al usuario, sino que

adems tambin el administrador tiene parte de culpa. Esto es debido a que si la

contrasea del usuario cae en terceras manos no solo se compromete al usuario

sino a todo el sistema, en el cual el administrador tiene que estar pendiente de un

posible ataque.

A continuacin se lista una serie de consejos con el fin de proteger una contrasea

tanto para el usuario como para el administrador.

La contrasea debe de ser modificada cada cierto tiempo, semanalmente,

mensualmente, etc.; dependiendo de cada caso, en definitiva la contrasea

debe de cambiar con el tiempo.

Siempre habr que cambiar todas las contraseas que estn por defecto en

el sistema, suele ocurrir que mucha gente no se preocupa por ellas, pero

estas contraseas son fcilmente de conseguir sin ningn esfuerzo.

Las contraseas son de uso individual, por tanto no se deben compartir o

distribuir entre compaeros de la entidad.

Nunca escribir la contrasea en algn sitio, debe de estar memorizada, ya

sea mediante el uso de tcnicas nemotcnicas, ya que cualquier persona



puede encontrar donde se haya escrito la contrasea poniendo en grave

situacin la seguridad del sistema.

No debe de existir una cuenta sin contrasea, esto es un grave error, y por

tanto para que esto no ocurra el administrador debe de estar pendiente y

repasar que no exista una cuenta sin contrasea.

Por lo que es (Biometra)

Esta tcnica consiste en la verificacin del personal de la empresa mediante sus

caractersticas fsicas (voz, huellas, retina, mano, cara, firma, etc.). Esta tcnica es

una de las ms seguras que existe, aun as siempre se puede decir que no existe

la seguridad perfecta sin embargo con esta tcnica se aumenta bastante la

seguridad.

Adems la biometra tiene una serie de ventajas con respecto a otros sistemas de

seguridad, a la hora de la autentificacin como por ejemplo:

No es necesario memorizar ninguna contrasea.

No es necesario llevar un objeto identificando quien es el usuario.

No hay que actualizar los registros de los usuarios, la gente mantendr los

mismos rasgos fsicos siempre.

Difcilmente de falsificar dichos rasgos fsicos.

El funcionamiento de este sistema consiste en lo siguiente, para empezar el

individuo o personal de la entidad se debe registrar en el sistema, obteniendo este



ltimo las caractersticas fsicas de la persona a travs de un algoritmo numrico,

obteniendo una serie de valores, los cuales se almacenarn en una base de datos.

Ahora cuando el empleado se identifique existen dos tipos de autentificacin, el

mtodo de 1 a 1 y el mtodo de 1 a N, los cuales se explican a continuacin:

Mtodo de 1 a 1: En este caso el usuario deber identificarse primero a

travs de una credencial, con ello la base de datos sabr con que registro

deber comparar los datos que obtenga a continuacin de dicho usuario

cuando ste se haga la prueba biomtrica, por tanto en este caso los datos

obtenidos por el usuario en la identificacin biomtrica solo se compararn

con un registro guardado en la base de datos.

Mtodo de 1 a N: En este tipo de autentificacin el usuario no necesita el

uso de ningn tipo de credencial, simplemente se toman los valores del

usuario por el sistema biomtrico y son comparados con todos los registros

que haya en la base de datos del sistema.

Hay varios tipos de clases de biometra segn lo que se quiera verificar del

personal, las cuales se listaran a continuacin.

Lectura de la mano del empleado:

Lectura de la huella digital del empleado:

Lectura del iris del empleado:

Lectura de la cara del empleado:

Reconocimiento de la voz del empleado:

Reconocimiento de la firma:



Criptografa

La criptografa es un punto en la seguridad informtica que siempre habr que

comentar, ya que forma parte de ello.

Un ejemplo actual del uso de la criptografa en el mundo de la seguridad

informtica consiste en los diferentes tipos de cifrado, con el fin de mantener la

seguridad de las claves cuando se est introduciendo una contrasea para

acceder a una cuenta de correo o cuando se envia un correo electrnico para

alguien. Estos mtodos de seguridad sirven para que en caso de que terceras

personas sean capaces de obtener dicha informacin, mediante diferentes

mtodos de ataque como por ejemplo el hombre en medio, no sean capaces de

leerlas debido a que estn cifradas y por lo tanto no puedan ser ledas por dichos

atacantes.



Capitulo II: Auditoria Informtica

2.1 Qu es una auditora?

Son una serie de tcnicas y de un grupo de procedimientos, cuyo fin es evaluar y

controlar un sistema con el objetivo de proteger sus recursos y activos, as como

comprobar que las actividades que se realizan de forma eficiente y con la

normativa general de cada empresa para obtener la eficacia exigida en el marco

de la organizacin estableciendo planes de accin y recomendaciones.

Consiste en un examen detallado de la estructura de una empresa, en cuanto a

controles y mtodos, su forma de operacin, sus objetivos y planes, sus equipos

fsicos y humanos.

Es una visin sistemtica y formal con el fin de determinar hasta que parte una

organizacin cumple sus objetivos establecidos por la empresa, as como para

diferenciar los que necesitan mejorarse

La auditora es en s una actividad que se debe realizar mediante el uso de

conocimientos acadmicos, para ello se utilizan una serie de tcnicas que lleven a

la prestacin de un servicio con alto nivel de calidad

2.2 Etapas de la auditora general

2.2.1 Estudio General:

Est basado en la estimacin general de las caractersticas de la empresa, de los

estados financieros y de los elementos ms importantes, de forma que sirvan



para la orientacin a la hora de aplicar una serie de tcnicas que resulten ms

convenientes en la auditora.

El concepto que debe de tener el auditor respecto del negocio del cliente es:

Las condiciones Econmicas y del Sector de la Empresa.

La estructura de dicha Organizacin.

Su estructura Legal y Operaciones.

2.2.2 Las condiciones Econmicas y del Sector de la Empresa.

El auditor tendr un conocimiento bsico referente a las condiciones econmicas

de la empresa, as como las condiciones competitivas que llegan a afectar las

operaciones realizadas de un cliente y los cambios que se producen en la

tecnologa. La nocin de las prcticas contables relacionadas en el sector de la

industria en la cual el cliente se desenvuelve es de vital importancia.

2.2.3 La estructura de dicha Organizacin

En una organizacin de cualquier magnitud, ser esencial el uso de un diagrama

de la organizacin con el fin de especificar las tareas y las responsabilidades de

los diversos miembros de la misma organizacin. La estructura de una asociacin

reparte las tareas entre los diversos empleados, las posiciones y departamentos o

grupos. Para poder controlar el trabajo de una organizacin se adoptar medidas

de procedimiento y mtodos que ayudarn a proporcionar evidencias de que

aquellas tareas fijadas por las estructura de la asociacin se llevan a cabo.

2.2.4 Su estructura Legal y Operaciones.

La auditora comenzar con el conocimiento de las circunstancias y operaciones

de la organizacin auditada. El auditor deber de preparar una descripcin breve



de la naturaleza de aquellas actividades comerciales adems de los factores ms

importantes que afectan a dichas operaciones.

Para ello el auditor deber de tener un conocimiento referente a las

caractersticas de funcionamiento, as como de los procedimientos relativos a la

administracin y de su estructura legal.

Para poder comprender la informacin obtenida mediante la auditora, el auditor

deber de saber los negocios del cliente as como todos los factores que pueden

llegar a influir en las operaciones

La revisin de los documentos legales de la organizacin es necesaria para el

correcto entendimiento de los registros contables, y de los estados financieros.

Esta informacin ayudar a ampliar el conocimiento del negocio.

Hay que reconocer que sin esta fase del examen de la auditora sera una

restriccin referente al alcance de esta rea, en la cual sera una negativa por

parte del cliente no permitir al auditor contemplar los libros de actas, lo que

conducir al auditor a la denegacin de un dictamen. Ya que la informacin que se

puede obtener de ello no se podr obtener de otra forma.

2.2.5 Ejecucin de la Auditora

Se encontraran los aspectos siguientes en esta etapa:

Anlisis: ayudar para clasificar y agrupar elementos de la organizacin.

Inspeccin: se trata de comprobar mediante una serie de pruebas los

elementos de la organizacin.

Confirmacin: consistir en obtener una comunicacin por parte de una

persona independiente de la empresa que est siendo auditada para el

conocimiento de las condiciones y de la naturaleza de la operacin de una

manera vlida sobre la misma



Investigacin: el auditor obtendr una serie de conocimientos con los cuales

se formar un juicio sobre los elementos de la empresa por medio de datos,

ya que estos nos sirven de base para la toma de decisiones.

Observacin: consiste en presenciar los hechos o ciertas operaciones,

mediante las cuales el auditor se da cuenta de qu forma se realizan por el

personal de dicha empresa.

2.2.6 Informe Final

El informe constar de dos partes la primera ser de procedimiento y la segunda

una opinin del auditor, con la primera parte se indicar el alcance de dicha

auditora mientras que la segunda ser la opinin del autor referente al correcto

funcionamiento y presentacin de los estados de dicha organizacin.

El objetivo de este informe ser dar una opinin independiente y profesional.

2.3 Cundo realizar una Auditora y por qu?

Las razones ms importantes a la hora de realizar una auditora podrn ser

algunas de las siguientes.

2.3.1 Razones Externas.

a) Cambio o modificacin en el marco legislativo.

La legislacin o la liberacin pueden cambiar el entorno, siendo este

menos previsible ya que cambia la situacin definida por las leyes

reguladoras por otra regida por las fuerzas de otras entidades de la

competencia.

La anulacin de barreras comerciales obligando a la apertura de

nuevos horizontes hacia mercados que pueden tener una

competencia internacional en vez de los mercados internos cerrados.



La privatizacin de las organizaciones puede cambiar la orientacin

de ellas mismas, obligando a pasar de un modelo burocrtico a un

modelo orientado a la eficiencia de las actuaciones y al servicio al

cliente.

b) Fluctuaciones del mercado.

La innovacin y la mejora de la tecnologa puede llegar a provocar

que sectores industriales y las empresas queden obsoletas, para

poder solucionar este problema debern de adaptarse a los nuevos

cambios

Los ciclos econmicos pueden llegar a obligar a ciertas

organizaciones a cambiar su orientacin por lo cual tendrn que

tener una serie de estrategias diferentes.

2.3.2 Razones internoexternas

a) La reorganizacin de una empresa

Esto puede ser provocado por diferentes causas: ya sea un cambio

de la propiedad de la empresa, creacin de un producto nuevo,

debilitamiento o desgaste en el equipo directivo as como un cambio

en la estrategia.

b) Emisin de ofertas pblicas en mercados

Debido al xito de una oferta pblica, la publicidad de los resultados

obtenidos de la auditora puede llegar a servir para comunicar las

ventajas competitivas de la empresa as como el destacar el talento

de los gestores.



2.3.3 Auditor informtico

Para empezar se tiene que saber que un mismo auditor no tiene porqu servir

para distintas auditoras, por lo tanto se debe elegir aquella persona que tenga la

experiencia necesaria y los conocimientos necesarios acordes al tipo de auditora

que se va a realizar ya que interactuar de una forma ms natural.

Su formacin acadmica puede ser desde unos estudios de nivel tcnico hasta

pasando por ingeniera industrial, derecho, informtica, ciencias polticas,

contabilidad, o cualquier otra formacin, esto es debido a que las auditoras

pueden ser de tantas clases como formaciones se tienen, lo importante es que

tenga una formacin relacionada con la auditora que vaya a impartir, ya que por

ejemplo un auditor en auditora informtica si el da de maana va a realizar una

auditora fiscal y no tiene los conocimientos necesarios respecto a ese tema, no va

a poder realizar el trabajo correctamente aunque su experiencia en auditoras sea

alto .

Tambin se valorar toda aquella formacin complementaria que habr obtenido

el auditor mediante seminarios, conferencias o cursos de reciclaje.

Respecto a las caractersticas personales del auditor las cuales son determinantes

a la hora de hacer su trabajo correctamente tiene que tener algunas de las

siguientes propuestas a continuacin:

Estabilidad emocional: el auditor no podr dejarse llevar por

sentimientos personales (angustia, rabia, etc.) los cuales pueden

influenciar negativamente a la hora de realizar dicha auditora.

Escuchar: deber de estar atento y saber todo lo que est ocurriendo

a su alrededor entendiendo claramente lo que digan el personal de la

entidad.



Analizar: tendr que ser una persona capaz de examinar

objetivamente una vez obtenido los datos necesarios.

tica: tiene que ser una persona con moral y que no se pueda

corromper.

Observador: tendr que estar atento a todo lo que est pasando

mientras realiza la auditora.

Optimista: habr que dar una actitud positiva a la hora de realizar

dicha auditora para que la gente que est en dicha entidad no llegue

a tomarle miedo, aunque tendrn que demostrar cierto respeto al

auditor.

Objetivo: deber de tener su propio punto de vista neutral a la hora

de realizar el examen final.

Discrecin: su paso a la hora de realizar la auditora desde la toma

de datos hasta la realizacin del examen debe de pasar lo ms

inadvertido en la entidad.

Trabajo en equipo: en el caso de trabajar con ayudantes u otros

auditores deber saber delegar el trabajo, as como una actitud

correcta en todo el momento con los dems compaeros del equipo.

Iniciativa: sabr qu pasos realizar en cada momento y como tienen

que hacerse sin dudar ni flaquear.

Exposicin en pblico: deber expresarse correctamente al personal

de la entidad.

Por ltimo cabe resaltar que la experiencia del auditor es uno de los mayores

puntos a favor que tiene, ya que gracias a ella cada vez tendr mejores

conocimientos y capacidades a la hora de enfrentarse a nuevos retos



2.3.4 Auditoria informtica

Sirve para recoger, agrupar y evaluar evidencias con el fin de confirmar si un

sistema de informacin mantiene la integridad de los datos, salvaguarda el activo

empresarial, cumple con los objetivos de la entidad de forma eficiente cumpliendo

con las leyes y regulaciones establecidas.

Con esta auditora podremos mejorar algunos puntos de la empresa como pueden

ser la eficacia, seguridad, rentabilidad y eficiencia.

En este tipo de auditora sus objetivos primarios son, el control de la funcin

informtica, el anlisis de los sistemas informticos, que se cumpla la normativa

en este mbito y la revisin eficaz de la gestin de los recursos informticos.

2.3.5 Pruebas en la auditora

A lo largo de la auditora se deben de realizar una serie de pruebas con el fin de

obtener la mayor informacin posible a la hora de tomar decisiones

Cumplimiento. Sirven para comprobar si un sistema de control

interno funciona correctamente.

Sustantivas. Se obtienen por observacin, clculos, entrevistas,

muestreos, tcnicas de exmenes analticos, conciliaciones y

revisiones. Sirven para verificar la integridad, exactitud y validez de

la informacin.

Clsicas. Se comprueban sistemas y aplicaciones con datos de

prueba, en un entorno simulado. Observando la entrada y el

resultado en la salida obtenido.

2.4 Cundo realizar la auditora?

Por deficiencias econmicas, incrementos de los costes.



Inseguridad en las instalaciones, ya sea seguridad fsica, lgica o la

confidencialidad de los datos.

Cuando hay mala imagen o no se cumple con la satisfaccin de los

clientes, debido a que no se reparan las averan en los plazos que

deben de ser, cuando no se atiende correctamente a los clientes, o

no se cumplen los plazos de entrega firmados.

Deben de realizarse cuando se descubren problemas de

descoordinacin y desorganizacin, esto es debido a que no se

cumplen los estndares de productividad conseguidos o cuando no

coinciden los objetivos o no se cumple con los de la compaa.

2.5 Objetivo de la auditora informtica

La operatividad consiste en que la entidad y las mquinas funcionen aunque sea

mnimamente. Ya que no es necesario detener los equipos informticos para

descubrir sus fallos y comenzar de nuevo. Este tipo de auditora se realizar

cuando los equipos estn operativos, en eso consiste su principal objetivo, que el

hecho de realizar la auditora no pare la productividad de la empresa totalmente.

Para conseguir este objetivo habr que realizar los siguientes controles.

Controles Tcnicos especficos, son necesarios para lograr la

operatividad de los sistemas. Por ejemplo se puede descubrir que los

parmetros de asignacin automtica en el espacio de un disco estn

mal, provocando que no se pueda utilizar por otra seccin distinta. Al

igual que la prdida de informacin provocando dificultad o anulando

otras aplicaciones.

Controles Tcnicos Generales, sirven para comprobar la compatibilidad

entre sistema operativo y software, as como la compatibilidad entre

hardware y software. Y por tanto es de los ms importantes, ya que un

problema en la compatibilidad puede crear un gran problema en la

entidad.



Capitulo III: Qu Es Una ISO/IEC?

3.1 Introduccin

Son estndares de seguridad publicados por la Comisin Electrotcnica

Internacional (IEC) y la Organizacin Internacional para la Estandarizacin (ISO).

La serie ISO/IEC 27000 sirve para desarrollar, mantener e implementar

especificaciones para los sistemas de gestin de la seguridad de la informacin,

tambin conocido como (SGSI).

Podemos nombrar algunas ISO relacionadas como por ejemplo:

ISO/IEC 27000 consiste en un vocabulario estndar para el SGSI

ISO/IEC 27001 es la certificacin que deben de tener las organizaciones,

adems es una norma que especifica los requisitos necesarios para la

implantacin del SGSI. Se la considera la norma ms importante de la

familia. Est centrada en la mejora continua de los procesos y de la gestin

de riesgos.

ISO/IEC 27002 Tecnologa de la informacin, tcnicas de seguridad y

cdigo para la prctica de la seguridad de la gestin de la informacin.

ISO/IEC 27003 Directrices para la implementacin de un SGSI. Tambin

se le considera el soporte de la norma ISO/IEC 27001.

ISO/IEC 27004 Mtricas para la gestin de seguridad de la informacin.

Proporciona recomendaciones de quin, cundo y cmo realizar

mediciones de seguridad de la informacin.

ISO/IEC 27005 Gua para la gestin del riesgo en relacin a la seguridad

de la informacin.



ISO/IEC 27006 En ella se especifican los requisitos para la acreditacin

de entidades de certificacin de sistemas de gestin de seguridad de la

informacin y auditora.

Cada da son ms las entidades que quieren obtener dichas normas consiguiendo

as su certificacin con el fin de tener un requisito que le permite competir con

otras entidades, consiguiendo mayor capacidad de negociacin con entidades que

piden que sus proveedores y clientes estn certificados.

Otras entidades lo que quieren obtener realmente con dichas normativas es la

mejora de sus procesos y acogerse a los estndares de calidad internacionales.

3.2 IEC

3.2.1 Historia

IEC surgi en Reino Unido en 1906 y desde sus inicios ha estado proporcionando

estndares globales a todas las industrias electrotcnicas mundiales.

La IEC es una organizacin no gubernamental sin fines de lucro. Su objetivo

consiste en publicar y preparar estndares internacionales para todas las

tecnologas elctricas o relacionadas a la electrnica.

3.2.2 Visin

Que las normas de la IEC y los programas de evaluacin de la conformidad sean

la clave al comercio internacional.

3.2.3 Misin

La misin de IEC es ser reconocida mundialmente como el proveedor lder de

normas, los sistemas de evaluacin de la conformidad y servicios relacionados



necesarios para facilitar el comercio internacional y aumentar el valor del usuario

en los campos de la electricidad, electrnica y tecnologas asociadas.

3.2.4 Importancia del mercado

Al promover la adopcin de todas y la utilizacin de las Normas IEC y los servicios

a lo ancho del mundo, la gestin IEC har todo lo posible para garantizar que los

miembros de los comits nacionales representan todos los intereses nacionales en

tanto el sector privado y el sector pblico. Estos incluyen a los fabricantes,

servicios pblicos, proveedores, distribuidores, usuarios, consumidores,

investigadores, acadmicos, normas de las organizaciones de desarrollo y los

reguladores.

El IEC seguir poniendo de relieve el papel esencial de su representante en los

comits nacionales, reconociendo tanto que es a travs de una buena

representacin de los comits nacionales y que la industria puede influenciar el

trabajo de la IEC y que la mayora de los costos de la IEC normalizacin son

sufragados por los patrocinadores de expertos que realizan el trabajo tcnico.

El IEC har hincapi en el carcter democrtico y transparente de su organizacin

y funcionamiento, que ofrece igualdad de oportunidades a todos los miembros en

beneficio de acuerdo con sus contribuciones a la actividad tcnica de la

IEC.

A fin de maximizar aportaciones y beneficios a sus principales mercados, el IEC

desarrollar los medios y procesos mediante los cuales se puede atraer e

incrementar sustancialmente la participacin de la industria en su normalizacin y

gestin de los organismos de evaluacin de conformidad.



Para garantizar la mayor aceptacin posible de trabajo IEC y reflexionar sobre la

evolucin de la sociedad, los comits nacionales de la IEC fomentarn la

participacin de los usuarios finales y los consumidores a nivel nacional y como

los miembros de sus delegaciones.

El IEC se esforzar por aumentar su aceptacin como una plataforma mundial

para una plena serie de publicaciones tcnicas de los documentos de consenso

limitado a un consenso pleno las normas internacionales, as como para la

evaluacin de la conformidad sistemas y servicios relacionados con las normas.

3.2.5 El IEC como una herramienta estratgica.

El IEC debe mejorar su promocin, marketing y comunicacin esforzando con los

tomadores de decisiones en la industria, gobiernos, reguladores y las

organizaciones intergubernamentales sobre los beneficios estratgicos de los

productos y servicios de IEC y de participar en su desarrollo y utilizacin. Entre

los reguladores y los pases en desarrollo, se prestar especial atencin a la

importancia de adoptar y en referencia a las normas IEC y de la utilizacin de

sistemas de evaluacin de la conformidad de la IEC. Adems, el IEC ampliar su

cooperacin y comunicacin con esfuerzos en los crculos acadmicos, as como

en la industria para desarrollar y proporcionar materiales educativos para el

personal tcnico y directivos. Estos programas se centrarn en el desarrollo, uso

y valor estratgico para negocio de las normas internacionales IEC, los sistemas

de evaluacin de la conformidad y otros servicios.

El IEC se encargar de dirigir en la evaluacin emergentes y convergentes

tecnologas y la identificacin de nuevas reas para el desarrollo de normas.



Reconociendo que la industria se centran en torno a la mayora de la relacin

costo efectiva de las estructuras de la normalizacin que pueda influir o controlar,

la IEC seguir desarrollando mecanismos efectivos, herramientas y procesos

innovadores para servir a los mercados en rpido movimiento a travs de

relaciones con los consorcios y ampliado foros y con funcionarios de desarrollo

social relevantes que han alcance global.

Con el fin de satisfacer mejor las necesidades del mercado, el IEC considerar

alternativas al modelo de negocio como el establecimiento de una unidad de IEC a

s mismo, separado de la estructura existente para todo el consenso de Normas

Internacionales, a desarrollar y publicar los documentos de consenso y la limitada

disposicin de otros servicios a los consorcios. Industria se anima a asumir el

liderazgo, que participa directamente en la direccin y los niveles tcnicos.

3.2.6 Alcance mundial

El IEC seguir fomentando la participacin de las nuevas industrializaciones y

economas en transicin en la familia IEC. Los pases candidatos se identificarn y

se facilitar la pertenencia para los que quieran y poder

(a) promover y apoyar la aplicacin nacional de la IEC y sustituir

progresivamente las normas nacionales divergentes (debido a que estn

confusas o no estn de acuerdo);

(b) para formar un comit nacional plenamente representativo

electrotcnico, (c) participar activamente en los trabajos tcnicos.

Para lograr su misin de facilitar el comercio internacional, el IEC aplicara su

poltica de importancia a nivel mundial para maximizar la aceptacin a nivel

mundial y la adopcin de las normas IEC armonizado a nivel mundial que

satisfagan las necesidades de todos los principales mercados.



A fin de maximizar la armonizacin mundial de las normas IEC y apoyar sistemas

de evaluacin de conformidad, el IEC se desarrollar y mejorar las relaciones con

las conformidades internacionales de los organismos de evaluacin.

3.2.7 Innovacin y valor aadido

El IEC sigue respondiendo a las necesidades del mercado en forma oportuna y

rentable, el desarrollo y la mejora de herramientas y servicios para ahorrar tiempo

y costo. Esto se devolver para facilitar las inversiones en proyectos futuros y

servicios para el beneficio de los usuarios y los estndares de desarrollo.

En particular, la comisin electoral independiente colaborar con los comits

nacionales para proporcionar liderazgo en el desarrollo y suministro de

innovadores y eficaces herramientas informticas necesarias para la

normalizacin de la comunidad entera.

Al tratar de agregar valor para el mercado salvaguardando al mismo tiempo las

fuentes de ingresos para el futuro, el IEC en conjunto con los comits nacionales

investigar y evaluarn una serie de nuevos servicios de informacin. El objetivo

ser facilitar el acceso al mercado de la informacin electrotcnica relacionada con

las normas de mltiples fuentes, en especial los comits nacionales, a travs de

un nico, integrado e interfaz de usuario.

3.2.8 Mejora y sostenimiento

El IEC continuar su prudente gestin financiera, el mantenimiento del saldo de

los ingresos por ventas entre el comit nacional y la oficina central para

salvaguardar la estabilidad financiera de la pertenencia al tiempo que garantiza los

recursos necesarios para las operaciones centrales y las inversiones.



El IEC mejorar an ms la cooperacin con ISO en las polticas, procedimientos

y procesos. Tambin se identificarn y perseguirn nuevas reas para la

cooperacin con la ISO (por ejemplo, servicios de subcontratacin o tareas entre

la IEC y las secretaras de la ISO), que aumentara las eficiencias de las

secretaras y beneficiaria a las comunidades de las organizaciones en su conjunto,

mientras que respetando la integridad de cada organizacin y el mantenimiento de

una eficiente, operacin independiente IEC para servir mejor a los mercados de la

IEC.

El IEC trabajar en estrecha colaboracin con la ISO para desarrollar una poltica

coherente enfoque de los derechos de propiedad intelectual.

El IEC continuamente adaptar sus estructuras y procesos internos, que deseen

adquirir la mejor informacin y recursos de calidad de interesados, en particular la

industria, para dar prioridad a los trabajos tcnicos y mantener su calidad y a la

vez cumplir con los requisitos de mercado para la eficiencia de costes y plazos.

El IEC procurar reforzar los recursos directos de mercado a las Juntas del Sector,

la revisin sistemtica de los mecanismos de funcionamiento de la Justas del

sector y la adaptacin de su cobertura de sectores especficos, segn sea

necesario. El objetivo ser aumentar la participacin de la industria y la toma de

decisiones, especialmente en lo que se refiere a las actividades de IEC con los

consorcios y foros, en desarrollo o mejora de procesos para identificar los criterios

de mercado para los productos de IEC y los servicios de mejor satisfacer las

necesidades del usuario.

El IEC continuar mejorando la calidad y eficiencia del desarrollo de la estructura

de sus normas. Alternativa participacin de los interesados y el documento de

modelos de aprobacin, as como las estructuras del comit tcnico.



El IEC estudiar los medios por los que podrn seguir para optimizar la

estructura, la gobernanza, la gestin y el funcionamiento eficaz de sus sistemas

de evaluacin de la conformidad para satisfacer las necesidades del mercado,

para garantizar recursos de dichos regmenes y para apoyar la labor de

normalizacin en el que se basan.

3.3 ISO

3.3.1 Historia

ISO surgi en Ginebra (Suiza), su principal objetivo era la unificacin de los

estndares industriales y facilitar la coordinacin internacional.

La ISO es una organizacin no gubernamental que forma un puente entre los

sectores privados y pblicos. Su objetivo consiste en publicar y desarrollar

estndares internacionales al resto del mundo. Hay que destacar que las siglas

ISO, provienen del griego (isos), 'igual'. Adems la ISO consiste en una red

de los institutos de normas nacionales de 160 pases (y posiblemente vaya en

aumento segn pase el tiempo) Cabe destacar que todas las normas

desarrolladas por ISO son siempre voluntarias ya que la ISO es un organismo no

gubernamental y no depende de ningn otro organismo internacional, por lo que

no tiene autoridad y por tanto no puede imponer a un pas. Respecto a su

organizacin se divide en tres clases las cuales son las siguientes:

Miembros natos

Miembros correspondientes

Miembros suscritos

Existe una cuarta clase que simplemente son aquellos los cuales no son

miembros de la ISO.



3.3.2 Quin trabaja en ISO?

El trabajo de ISO es muy descentralizado, se lleva a cabo mediante una jerarqua

de unos 2850 comits tcnicos, trabajos en grupo y otros subcomits. En estos

comits los representantes de las industrias, consumidoras, autoridades

gubernamentales y organizaciones internacionales de todo el mundo trabajan

juntos con el fin de obtener una resolucin con todos de acuerdo de los problemas

de estandarizacin a nivel global.

3.3.3 Plan estratgico 20052010 de la ISO

Prlogo

El Plan Estratgico 20052010 esboza la visin global de la organizacin en 2010,

junto con los siete objetivos estratgicos establecidos para satisfacer las



expectativas de sus miembros y las partes interesadas y los resultados ISO espera

alcanzar.

Este plan estratgico identificar las acciones que deben adoptarse o emprender

para lograr estos resultados. Se ha elaborado tras una amplia consulta de los

interesados, a travs de los miembros de ISO, y de las principales organizaciones

internacionales con las que colabora la norma ISO.

Visin global de la ISO en 2010

La ISO tiene los siguientes puntos a contemplar:

La facilitacin del comercio mundial

Mejora de la calidad, seguridad, medio ambiente y proteccin de los

consumidores, as como el uso racional de los recursos naturales

Difusin global de las tecnologas y de las buenas prcticas,

Contribuir al progreso econmico y social.

A travs de la red y la colaboracin de sus miembros los organismos nacionales,

enlaces internacionales, la cooperacin regional y las organizaciones asociadas,

ISO constituye una plataforma lder para la produccin de mercado de referencia a

nivel mundial y estndares internacionales. Los mecanismos de ISO, la creacin

de consenso, la cobertura multisectorial y la capacidad de difundir de manera

eficiente y promover su gama de productos son reconocidos y que se basa la

industria, autoridades pblicas, consumidores y otros interesados, lo que ayudar

a materializar el objetivo de "una norma, una prueba y un procedimiento de

evaluacin de la conformidad aceptada por todos. De esta manera, ISO

contribuye a una economa mundial ms eficiente y sostenible.



Objetivos de la ISO para el 2010

La ISO tiene una serie de objetivos los cuales son los siguientes:

El desarrollo de una colecci

TRABAJO FINAL ASIC.pdf

Documents

Transcript of TRABAJO FINAL ASIC.pdf