antologia_auditoria (1).docx

DIRECCIÓN GENERAL DE EDUCACIÓN SUPERIOR

TECNOLÓGICA

INSTITUTO TECNOLÓGICO DEL VALLE DE OAXACA

ANTOLOGIA DE LA MATERIA AUDITORIA EN TECNOLOGÍAS DE

LA INFORMACIÓN

CARRERA: Ingeniería en Tecnologías de la Información y Comunicaciones

PROFESOR: Miguel Santibáñez Miguel.

Febrero - Julio 2015

ContenidoUNIDAD 1. INTRODUCCION A LA AUDITORÍA........................................................................3

1.1. Características de un auditor.....................................................................................3

1.2. Definición de auditoría y tipos de auditoría..........................................................11

1.3. Fases de la auditoría: preparación, planeación, revisión de auditoría in situ, elaboración del reporte..........................................................................................................14

UNIDAD 2. AUDITORÍA DE LA DIRECCIÓN INFORMÁTICA................................................18

2.1. Examen de organigrama............................................................................................19

2.2. Revisión de la documentación relacionada con la dirección...........................19

2.3. Entrevistas a directivos.............................................................................................20

2.4. Evaluación.....................................................................................................................21

UNIDAD 3. AUDITORÍA DE LA SEGURIDAD FÍSICA.............................................................21

3.1. Concepto de seguridad física...................................................................................21

3.2. Áreas a revisar.............................................................................................................22

3.3. Evaluación de riesgos................................................................................................23

3.4. Fuentes a utilizar.....................................................................................................2333

UNIDAD 4. AUDITORÍA DE SERVICIOS DE SUBCONTRATACIÓN...................................26

4.1. Subcontratación de servicios en TI........................................................................26

4.2. Contratos: características, alcance........................................................................27

4.3. Acuerdos del nivel de servicio.................................................................................27

4.4. Programa de auditoría al área de servicios de subcontratación.....................29

UNIDAD 5. AUTIDORÍA DE BASES DE DATOS.....................................................................31

5.1. Concepto de la auditoría de la base de datos......................................................31

5.2. Diseño y carga..............................................................................................................31

5.3. Explotación y mantenimiento...................................................................................31

5.4. Revisión post-implantación......................................................................................32

5.5. SGBD..............................................................................................................................32

UNIDAD 6. AUDITORÍA DE SISTEMAS....................................................................................32

6.1. Concepto de la auditoría de sistemas....................................................................32

6.2. Desarrollo de sistemas..............................................................................................32

6.3. Instalación y puesta en servicio..............................................................................32

6.4. Mantenimiento y soporte...........................................................................................33

Auditoria en Tecnologías de la InformaciónPágina 1

6.5. Resolución de incidencias........................................................................................33

6.6. Seguridad y control.....................................................................................................34

UNIDAD 7. AUDITORÍA DE LA SEGURIDAD LOGICA..........................................................34

7.1. Concepto de la seguridad lógica.............................................................................34

7.2. Consecuencias y riesgos..........................................................................................35

7.3. Rutas de acceso..........................................................................................................35

7.4. Claves de acceso.........................................................................................................36

7.5. Software de control de acceso.................................................................................37

7.6. Tipos de seguridad lógica (encriptamiento, firmas, certificados, llaves y otros) 37

UNIDAD 8. AUDITORÍA DE LAS TELECOMUNICACIONES.................................................38

8.1. Seguridad en telecomunicaciones..........................................................................38

8.2. Vulnerabilidades, amenazas y riesgos...................................................................38

8.3. Objetivos y criterios a evaluar: seguridad en Internet (derechos de acceso, rectificación, cancelación y oposición), transferencias de datos, servicios de telefonía.....................................................................................................................................39

8.4. Técnicas y herramientas............................................................................................40

BIBLIOGRAFIA.........................................................................................................................42

REFERENCIAS BIBLIOGRAFICAS......................................................................................42


UNIDAD 1. INTRODUCCION A LA AUDITORÍA

1.1.Características de un auditor

Un auditor tiene la virtud de oír y revisar cuentas, pero debe de estar encaminado a un objetivo específico, que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.1

El auditor de tecnologías de la información debe jugar un rol proactivo a través de todas las etapas del proceso de sistematización del negocio.

Los servicios de Auditoría de Tecnologías de Información se encuentran orientados al mercado pro-activo y preventivo, brindándole a los clientes evaluaciones de sus controles, que sirvan para el fortalecimiento de su seguridad e infraestructura tecnológica.

El auditor informático pasa a ser auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en:

- Seguridad- Control interno operativo- Eficiencia y eficacia- Tecnología informática- Continuidad de operaciones- Gestión de riesgos

No solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial.

Principios deontológicos

1) Principio de beneficio del auditado

El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada (cliente). Obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones más idóneas según los problemas detectados en el sistema informático de esta última, siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos de las normas deontológicas.

2) Principio de calidad

1 Auditoria informática – José Antonio Echenique García, Mc Graw Hill, 2ª. Edición


El auditor deberá prestar sus servicios en base a las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor, asimismo debe negarse a realizar la auditoría hasta que se garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios.

Puede pedir informe de otro técnico más cualificado en algún aspecto puntual para reforzar la calidad y fiabilidad global de la auditoría.

3) Principio de capacidadEl auditor debe estar plenamente capacitado para la realización de la auditoría encomendada, así mismo el auditor puede incidir en la toma de decisiones de la mayoría de sus clientes con un elevado grado de autonomía, dada la dificultad práctica de los mismos de contrastar su capacidad profesional y el desequilibrio de conocimientos técnicos existentes entre el auditor y los auditados.

Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoría evitando que una sobreestimación personal pudiera provocar el incumplimiento parcial o total de la misma, aun en los casos en que dicho incumplimiento no pueda ser detectado por las personas que le contraten dadas sus carencias cognitivas técnicas al respecto.

4) Principio de cautela

El auditor debe en todo momento ser consciente de que sus recomendaciones deben estar basadas en la experiencia contrastada que se le supone tiene adquirida, evitando que el auditado se embarque en proyectos de futuro fundamentados en simples intuiciones sobre la posible evolución de las nuevas tecnologías de la información.

El auditor debe actuar con humildad, evitando dar la impresión de estar al corriente de una información privilegiada sobre el estado real de la evolución de las nuevas tecnologías y ponderar las dudas que le surjan en el transcurso de la auditoría a fin de poner de manifiesto las diferentes posibles líneas de actuación en función de previsiones reales y porcentajes de riesgo calculados de las mismas, debidamente fundamentadas.

5) Principio de comportamiento profesional

El auditor, tanto en sus relaciones con el auditado como con terceras personas, deberá en todo momento actuar conforme a las normas, implícitas o explícitas, de dignidad de la profesión y de corrección en el trato personal.

El comportamiento profesional exige del auditor una seguridad en sus conocimientos técnicos y una clara percepción de sus carencias, debiendo eludir las injerencias no solicitadas por él, de profesionales de otras áreas, en temas


relacionados o que puedan incidir en el resultado de la auditoría y, cuando precisase del asesoramiento de otros expertos, acudir a ellos, dejando en dicho supuesto constancia de esa circunstancia y reflejando en forma diferenciada, en sus informes y dictámenes, las opiniones y conclusiones propias y las emitidas por los mismos.

6) Principio de concentración en el trabajo

El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de concentración y precisión en cada una de las tareas a él encomendadas, ya que la saturación y dispersión de trabajos suele a menudo, si no está debidamente controlada, provocar la conclusión de los mismos sin las debidas garantías de seguridad.

Este comportamiento profesional permitirá al auditor dedicar a su cliente la mayor parte de los recursos posibles obtenidos de sus conocimientos y experiencias previas con una completa atención durante la ejecución de la auditoría sin injerencias o desatenciones originadas por prestaciones ajenas a la misma.

7) Principio de confianza

El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de transparencia en su actividad profesional. Este principio requiere asimismo, por parte del auditor, el mantener una confianza en las indicaciones del auditado aceptándolas sin reservas como válidas, a no ser que observe datos que las contradigan y previa confirmación personal de la inequívoca veracidad de los mismos.

Para fortalecer esa confianza mutua se requiere por ambas partes una disposición de diálogo sin ambigüedades que permita aclarar las dudas que, a lo largo de la auditoría, pudieran surgir sobre cualesquiera aspectos que pudieran resultar conflictivos, todo ello con la garantía del secreto profesional que debe regir en su relación.

8) Principio de criterio propio

El auditor durante la ejecución de la auditoría deberá actuar con criterio propio y no permitir que éste subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo.

En los casos en que aprecie divergencias de criterio con dichos profesionales sobre aspectos puntuales de su trabajo, deberá reflejar dichas divergencias dejando plenamente de manifiesto su propio criterio e indicando, cuando aquél esté sustentado en metodologías o experiencias que difieran de las corrientes profesionales mayoritariamente asumidas, dicha circunstancia.


9) Principio de discreción

El auditor deberá en todo momento mantener una cierta discreción en la divulgación de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecución de la auditoría.

Este cuidado deberá extremarse cuando la divulgación de dichos datos pudiera afectar a derechos relacionados con la intimidad o profesionalidad de las personas concernidas por los mismos o a intereses empresariales, y mantenerse tanto durante la realización de la auditoría como tras su finalización.

10) Principio de economía

El auditor deberá proteger, en la medida de sus conocimientos, los derechos económicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad.

En cumplimiento de este principio deberá procurar evitar demoras innecesarias en la realización de la auditoría. Esta economía de tiempos permitirá al auditado reducir los plazos de actuación tendentes a solventar los problemas detectados o a la adecuación a los nuevos métodos propuestos aportando un determinado valor añadido al trabajo del auditor.

11)Principio de formación continuada

El auditor deberá proteger, en la medida de sus conocimientos, los derechos económicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad.

En cumplimiento de este principio deberá procurar evitar demoras innecesarias en la realización de la auditoría. Esta economía de tiempos permitirá al auditado reducir los plazos de actuación tendentes a solventar los problemas detectados o a la adecuación a los nuevos métodos propuestos aportando un determinado valor añadido al trabajo del auditor.

12) Principio de respeto a la profesión

Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualización de sus conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta.

13) Principio de independencia

Este principio, obliga al auditor exigir una total autonomía e independencia en su trabajo, condición ésta imprescindible para permitirle actuar libremente según su


leal saber y entender. La independencia del auditor constituye, en su esencia, la garantía de que los intereses del auditado serán asumidos con objetividad; en consecuencia el correcto ejercicio profesional de los auditores es antagónico con la realización de su actividad bajo cualesquiera condiciones que no permitan garantizarla.

14) Principio de información suficiente

Este principio de primordial interés para el auditado, obliga al auditor a ser plenamente consciente de su obligación de aportar, en forma pormenorizadamente clara, precisa e inteligible para el auditado, información tanto sobre todos y cada uno de los puntos relacionados con la auditoría que puedan tener algún interés para él, como sobre las conclusiones a las que ha llegado, e igualmente informarle sobre la actividad desarrollada durante la misma que ha servido de base para llegar a dichas conclusiones.

Dicha información deberá estar constituida por aquella que el auditor considere conveniente o beneficiosa para los intereses o seguridad de su cliente y estar en consonancia con la utilidad que pueda tener, en el presente o en el futuro, para el mismo.

La labor informativa del auditor deberá, por tanto, estar basada en la suficiencia, autonomía y máximo aprovechamiento de la misma por parte de su cliente, debiendo indicar junto a sus juicios de valor, la metodología que le ha llevado a establecerlos para, de esta forma, facilitar el que, en futuras auditorías, puedan aprovecharse los conocimientos extraídos de la así realizada, eludiendo monopolios y dependencias generadas por oscurantismo en la transmisión de la información.

15) Principio de integridad moral

Este principio obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión, a ajustarse a las normas morales, de justicia y probidad, y a evitar participar, voluntaria o inconscientemente, en cualesquiera actos de corrupción personal o de terceras personas.

El auditor no deberá bajo ninguna circunstancia, aprovechar los conocimientos adquiridos durante la auditoria para utilizarlos en contra del auditado o terceras personas relacionados con el mismo.

16) Principio de legalidad

En todo momento el auditor deberá evitar utilizar sus conocimientos para facilitar, a los auditados o a terceras personas, la contravención de la legalidad vigente.

En ningún caso consentirá ni colaborará en la desactivación o eliminación de dispositivos de seguridad ni intentará obtener los códigos o claves de acceso a


sectores restringidos de información generados para proteger los derechos, obligaciones o intereses de terceros.

17) Principio de libre competencia

La actual economía de mercado exige que el ejercicio de la profesión se realice en el marco de la libre competencia, siendo rechazables, por tanto, las prácticas tendentes a impedir o limitar la legítima competencia de otros profesionales y las prácticas abusivas consistentes en el aprovechamiento en beneficio propio, y en contra de los intereses de los auditados, de posiciones predominantes.

18) Principio de no discriminación

El auditor en su actuación previa, durante y posterior a la auditoría, deberá evitar inducir, participar o aceptar situaciones discriminatorias de ningún tipo, debiendo ejercer su actividad profesional sin prejuicios de ninguna clase y con independencia de las características personales, sociales o económicas de sus clientes.

Su actuación deberá asimismo mantener una igualdad de trato profesional con todas las personas con las que en virtud de su trabajo tenga que relacionarse con independencia de categoría, estatus empresarial o profesional, etc.

19) Principio de no injerencia

El auditor, dada la incidencia que puede derivarse de su tarea, deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar un cierto desprestigio de su cualificación profesional, a no ser que, por necesidades de la auditoría, tuviera que explicitar determinadas incompetencias que pudieran afectar a las conclusiones o el resultado de su dictamen.

Deberá igualmente evitar aprovechar los datos obtenidos de la auditoría para entrar en competencia desleal con profesionales relacionados con ella de otras áreas del conocimiento. Esa injerencia es mayormente reprobable en los casos en los que se incida en aquellos campos de actividad para los que el auditor no se encuentre plenamente capacitado.

20) Principio de precisión

Este principio exige del auditor la no conclusión de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas, debiendo ampliar el estudio del sistema informático cuanto considere necesario, sin agobios de plazos siempre que se cuente con la aprobación del auditado, hasta obtener dicho convencimiento.


Es exigible asimismo del auditor que indique como evaluado únicamente aquello que directamente, o por medio de sus colaboradores, haya comprobado u observado de forma exhaustiva, eludiendo indicar como propias y contrastadas las observaciones parciales o incompletas o las recabadas de terceras personas.

21) Principio de publicidad adecuada

La oferta y promoción de los servicios de auditoría deberán en todo momento ajustarse a las características, condiciones y finalidad perseguidas, siendo contraria a la ética profesional la difusión de publicidad falsa o engañosa que tenga como objetivo confundir a los potenciales usuarios de dichos servicios.

La defensa del prestigio de la profesión obliga asimismo a los auditores informáticos a evitar las campañas publicitarias que, por su contenido, puedan desvirtuar la realidad de sus servicios, enmascaren los límites de los mismos, oscurezcan sus objetivos o prometan resultados de imprevisible, cuando no imposible, consecución.

22) Principio de responsabilidad

El auditor deberá responsabilizarse de lo que haga, diga o aconseje, sirviendo esta forma de actuar como barrera de injerencias extraprofesionales. Es conveniente impulsar la formalización y suscripción de seguros, adaptados a las peculiares características de su actividad, que cubran la responsabilidad civil de los auditores con una suficiente cobertura a fin de acrecentar la confianza y solvencia de su actuación profesional.

La responsabilidad del auditor conlleva la obligación de resarcimiento de los daños o perjuicios que pudieran derivarse de una actuación negligente o culposa, si bien debería probarse la conexión causa-efecto originaria del daño, siendo aconsejable estipular a priori un tope máximo de responsabilidad sobre los posibles daños acorde con la remuneración acordada como contraprestación por la realización de la auditoría.

23) Principio de secreto profesional

La confidencia y la confianza son características esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligación de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional. Solamente por imperativo legal podrá decaer esa obligación.

Este principio obliga al primero a no difundir a terceras personas ningún dato que haya visto, oído, o deducido durante el desarrollo de su trabajo que pudiera perjudicar a su cliente, siendo nulos cualesquiera pactos contractuales que pretendieran excluir dicha obligación.

El mantenimiento del secreto profesional sobre la información obtenida durante la auditoría se extiende a aquellas personas que, bajo la potestad organizadora del


auditor, colaboren con él en cualquiera de las actividades relacionadas con la misma.

24) Principio de servicio publico

La aplicación de este principio debe incitar al auditor a hacer lo que esté en su mano y sin perjuicio de los intereses de su cliente, para evitar daños sociales como los que pueden producirse en los casos en que, durante la ejecución de la auditoría, descubra elementos de software dañinos (virus informáticos) que puedan propagarse a otros sistemas informáticos diferentes del auditado. En estos supuestos el auditor deberá advertir, necesariamente en forma genérica, sobre la existencia de dichos virus a fin de que se adopten las medidas sociales informativas pertinentes para su prevención, pero deberá asimismo cuidar escrupulosamente no dar indicios que permitan descubrir la procedencia de su información.

El auditor deberá asimismo tener presente la ponderación entre sus criterios éticos personales y los criterios éticos subyacentes en la sociedad en la que presta sus servicios, debiendo poner de manifiesto sus opciones personales cuando entren en contradicción con la ética social que el auditado pueda presumir que está implícitamente aceptada por el auditor.

Este principio de adaptabilidad u oposición constructiva tanto a los principios éticos sociales, asumidos como válidos por la comunidad, como a las costumbres derivadas de los mismos, facilita la necesaria y permanente crítica social sobre dichos principios y costumbres, permitiendo su adaptación a las nuevas necesidades) perspectivas abiertas con el progreso tecnológico regional o mundial.

La consideración del ejercicio profesional de los auditores como servicio público globalmente considerado, exige igualmente una continua elevación del arte de la ciencia en el campo de la auditoría informática, lo que únicamente puede lograrse con la participación activa de los profesionales de dicho sector en la definición de las características y exigencias de su actividad profesional y, por ende, en la elaboración de los códigos deontológicos reguladores del ejercicio responsable de dicha actividad.

25) Principio de veracidad

El auditor en sus comunicaciones con el auditado deberá tener siempre presente la obligación de asegurar la veracidad de sus manifestaciones con los límites impuestos por los deberes de respeto, corrección y secreto profesional.

La aplicación de este principio exige que el auditor, en el marco de su obligación de informar al auditado sobre el trabajo realizado, comunique a este último sus


conclusiones, diferenciando los hechos constatados de las opiniones, propuestas y valoraciones personales, debiendo actuar en la comprobación de los primeros y en la fundamentación de las restantes con una suficiente diligencia profesional para garantizar el cumplimiento de su obligación de informar verazmente.

1.2.Definición de auditoría y tipos de auditoría

La palabra auditoria viene del latín auditorius, y de esta proviene “auditor”, el que tiene la virtud de oír, y revisar cuentas. La Informática hoy, está integrando en la gestión de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. La Auditoría Informática es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una empresa.

Los principales objetivos que constituyen a la auditoría Informática son:

o El control de la función informática,o El análisis de la eficiencia de los Sistemas Informáticos,o La verificación del cumplimiento de la Normativa en este ámbito

Y la revisión de la eficaz gestión de los recursos informáticos.

Es el examen objetivo, crítico, metodológico y selectivo de evidencia relacionada con políticas, prácticas, procesos y procedimientos en materia de Tecnologías de la Información y la Comunicación, para expresar una opinión independiente respecto:2

1) A la confidencialidad, integridad, disponibilidad y confiabilidad de la información.

2) Al uso eficaz de los recursos tecnológicos.3) A la efectividad del sistema de control interno asociado a las Tecnologías

de la Información y la Comunicación.

La auditoría de Tecnologías de la Información y la Comunicación está definida principalmente por sus objetivos y puede ser orientada hacia uno o varios de los siguientes enfoques:

a) Enfoque a las Seguridades: Consiste en evaluar las seguridades implementadas en los sistemas de información con la finalidad de mantener la confidencialidad, integridad y disponibilidad de la información.

b) Enfoque a la Información: Consiste en evaluar la estructura, integridad y confiabilidad de la información gestionada por el sistema de información.

c) Enfoque a la Infraestructura tecnológica: Consiste en evaluar la correspondencia de los recursos tecnológicos en relación a los objetivos previstos.

2 http://www.contraloria.gob.bo/portal/Auditor%C3%ADa/Auditor%C3%ADasTIC.aspx


d) Enfoque al Software de Aplicación: Consiste en evaluar la eficacia de los procesos y controles inmersos en el software de aplicación, que el diseño conceptual de éste cumpla con el ordenamiento jurídico administrativo vigente.

e) Enfoque a las Comunicaciones y Redes: Consiste en evaluar la confiabilidad y desempeño del sistema de comunicación para mantener la disponibilidad de la información.

DIVERSOS TIPOS DE AUDITORIA

- Por su lugar de aplicación

Se refiere a la forma en que se realiza este tipo de trabajos, y también a como se establece la relación laboral en las empresas donde se llevará a cabo la auditoria; esto da un origen externo si el auditor no tiene relación directa con la empresa, o un origen interno si existe una relación de dicho auditor con la propia empresa.

a) Auditoría Externa

Auditoría realizada por auditores totalmente ajenos a la empresa, por lo menos en el ámbito profesional y laboral. Permitiendo así que el auditor externo utilice su libre albedrío en la aplicación de los métodos, técnicas y herramientas de auditoría con las cuales hará la evaluación de las actividades y operaciones de la empresa que audita, y por lo tanto, la emisión de resultados será absolutamente independiente. 3

Generalmente, estas auditorías externas son realizadas por grandes empresas y despachos independientes de auditores.

b) Auditoría Interna

Quien realiza este tipo de auditoria es una persona que labora dentro de la empresa donde se realiza la misma y, por lo tanto, de alguna manera está involucrado en su operación normal. Para un mejor entendimiento se tiene la siguiente definición.

Revisión que realiza un profesional de la auditoria, cuya relación de trabajo es directa y subordinada a la institución donde se aplicará la misma, con el propósito de evaluaren forma interna el desempeño y cumplimiento de las actividades, operaciones y funciones que se desarrollan en la empresa y sus áreas administrativas, así como evaluar la razonabilidad en la emisión de los resultados. El objetivo final es contar con un dictamen interno sobre las actividades de toda la empresa, que permitan diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de las áreas que se auditan. (Carlos Muñoz Razo, auditoria en sistemas computacionales).

3 Auditoria en sistemas computacionales – Carlos Muñoz Razo, Pearson


- Por su área de aplicación

Se refiere al ámbito específico donde se llevan a cabo las actividades y operaciones que serán auditadas, ubicando a cada tipo de auditoria de acuerdo con el área de trabajo e influencia de la rama o especialidad que será evaluada.

1. Auditoría financiera

Primer tipo de auditoria que existió en el ámbito comercial, cuya principal actividad del auditor consiste en revisar la correcta y oportuna aplicación de los registros contables y operaciones financieras de las empresas, con el propósito de comprobar que la emisión de los resultados financieros de un ejercicio fiscal cumpla con los principios contables que regulan las actividades del contador público y así poder emitir su dictamen sobre sus resultados financieros.

En este tipo de auditoria se contempla con un análisis financiero de los resultados obtenidos durante dicho ejercicio, para lo cual se utilizan técnicas de la ingeniería financiera y el análisis contable.

2. Auditoría administrativa

Es la revisión sistemática y exhaustiva que se realiza a la actividad administrativa de la empresa, en cuanto a su organización, las relaciones entre sus integrantes y el cumplimiento de las funciones y actividades que regulan sus operaciones. Su propósito es evaluar tanto el desempeño administrativo de las áreas de la empresa, como la planeación y control de los procedimientos de operación, y los métodos y técnicas de trabajo establecidos en la institución.

3. Auditoría operacional

Revisión exhaustiva, sistemática y especifica que se realiza a las actividades de una empresa, con el fin de evaluar su existencia, cualesquiera que estas sean, tanto en el establecimiento y cumplimiento de los métodos, técnicas y procedimientos de trabajo necesarios para el desarrollo de sus operaciones, en coordinación con los recursos disponibles, como en las normas, políticas, lineamientos y capacitación que regulan el buen funcionamiento de la empresa.

4. Auditoría integral

Es la revisión exhaustiva, sistemática y global que realiza un equipo multidisciplinario de profesionales a todas las actividades y operaciones de una empresa, con el propósito de evaluar, de manera integral, el correcto desarrollo de las funciones en todas las áreas administrativas, así como de evaluar sus resultados conjuntos y relaciones de trabajo. Comunicaciones y procedimientos interrelacionados que regulan la realización de las actividades compartidas para alcanzar el objetivo institucional.


5. Auditoría gubernamental

Revisión que se realiza a todas las actividades y operaciones de una entidad gubernamental, cualquiera que sea la naturaleza de las dependencias y entidades de la Administración Pública Federal. Su fin es evaluar el correcto desarrollo de las funciones de todas las áreas y unidades administrativas de dichas entidades, así como los métodos y procedimientos que regulan las actividades necesarias para cumplir con los objetivos gubernamentales, estatales o municipales.

6. Auditoría de sistemas

El propósito fundamental de esta auditoria es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuando de la información y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa.

1.3.Fases de la auditoría: preparación, planeación, revisión de auditoría in situ, elaboración del reporte

PREPARACIÓN

Esta fase comienza con la decisión de realizar una auditoría, comprende todas las actividades desde la selección del equipo hasta la recogida de la información in situ.

En el momento que es asignada la auditoria y al comienzo de esta, se debe sentar las bases y la organizar el trabajo adecuadamente.

- Pasos 1. Definir el propósito de la auditoria. 2. Definir el ámbito de la auditoria.3. Determinar los recursos que se van a aplicar.4. Identificar la autoridad de la auditoria.5. Identificar los requisitos para la actividad auditada.6. Adquirir conocimientos técnicos de los procesos que se van a auditar.7. Preparar un plan para la auditoria y ponerse en contacto con los que van a

ser auditados.8. Realizar una evaluación inicial, desde los documentos de nivel inferior hasta

los requisitos de más alto nivel.9. Preparar los papeles de trabajo para la recogida de datos.

PLANEACIÓN


Para la planeación de la auditoria se siguen una serie de pasos previos que permiten dimensionar el tamaño y características del área dentro de la organización a auditar, sus sistemas, organización y equipo. Con ello es posible determinar el número y las características del personal de auditoría, las herramientas necesarias, el tiempo y el costo.

El trabajo de la auditoría debe incluir la planeación de la auditoría, el examen y la evaluación de la información, la comunicación de los resultados y el seguimiento.

La planeación debe ser documentada y debe incluir:

El establecimiento de los objetivos y el alcance del trabajo. La obtención de información de apoyo sobre las actividades que se

auditaran. La determinación de los recursos necesarios para realizar de la auditoría. El establecimiento de la comunicación necesaria con todos los involucrados

en la auditoría. La realización, en la forma más apropiada, de una inspección física para

familiarizarse con las actividades y controles a auditar, así como identificación de las áreas en las que se deberá ser énfasis al realizar la auditoría y promover comentarios y la promoción de los auditados.

La preparación por escrito del programa de auditoría. La determinación de cómo, cuándo y a quién se le comunicaran los

resultados de la auditoría. La obtención de la aprobación del plan de trabajo de la auditoría.

Para lograr una adecuada planeación, lo primero que se requiere es obtener información general sobre la organización y sobre la función informática a evaluar.

El proceso de planeación comprende establecer:

- Metas : se deberán establecer de tal manera que se pueda lograr su cumplimiento, sobre la base de los planes específicos de operación y de los presupuestos, los que hasta donde sea posible deben ser cuantificables.

- Programa de trabajo de auditoría deberán incluir: las actividades que se van a auditar, cuando serán auditadas, el tiempo estimado requerido.

- Planes de contratación del personal y presupuesto financiero : estos planes deben contemplarse al elaborar los programas de trabajo de auditoría, así como las actividades administrativas.

- Informe de actividades .

Plan del auditor

Esquema metodológico más importante del auditor informático, en este documento se debe describir todo sobre esta función y el trabajo que realiza en la entidad.

Partes del plan del auditor


Funciones: debe existir una clara segregación de funciones con la informática y de control interno informático, el cal debe ser auditado también. Deben describirse las funciones de forma precisa, y la organización interna del departamento, con todos sus recursos.

Procedimientos: para distintas las tareas de la auditoria. Se define el procedimiento de apertura, el de entrega y discusión de debilidades, entrega de informe preliminar, cierre de auditoria, redacción de informe final, etc.

Sistemas de evaluación: se debe de definir el sistema de evaluación y los distintos aspectos que evalúa.

REVISIÓN DE AUDITORIA IN SITU

La auditoría in situ comienza con una reunión de apertura en la que está presente la dirección de la organización y es presidida por el auditor jefe. En esta reunión se procederá al cierre de las No Conformidades de la revisión de la documentación, si existiesen, después de estudiar los cambios realizados a la documentación indicada en las acciones correctoras propuestas. Se confirmará el programa de auditoría y el equipo auditor admitirá, siempre que sea posible, las modificaciones propuestas por el cliente relativas a la indisponibilidad de personal o de las instalaciones.

Durante la auditoría, los auditores observarán y consultarán al personal de la organización para confirmar el nivel de comprensión y cumplimiento de los procedimientos. Se examinarán las evidencias objetivas de los documentos y registros para comprobar el cumplimiento, tanto de las políticas y procedimientos como de la norma aplicable del Sistema de Gestión Ética y Socialmente Responsable.

La conformidad o no conformidad con los procedimientos del cliente y con la norma aplicable será registrada por los auditores así como las observaciones que se pudieran detectar (errores insignificantes, aislados o potenciales).

Las no conformidades encontradas se comunicarán al representante de la organización en el momento, para evitar posteriores imprevistos en caso de abrirse Solicitudes de Acciones Correctoras. La organización dispondrá, una vez finalizada la auditoría, de un plazo de tiempo determinado para solucionar las no conformidades detectadas.

ELABORACIÓN DEL REPORTE

El informe o reporte de auditoria debe de ser claro, adecuado, suficiente y comprensible. Los puntos esenciales, genéricos y mínimos del informe de auditoría son los siguientes:

1. Identificación del informe


Se debe de tener un título para el informe con el fin de poderlo identificar con otros informes.

2. Identificación del clienteIdentificar a los destinatarios del informe así como de las personas que elaboran el mismo.

3. Identificación de la entidad auditadaIdentificar a la entidad que fue objeto de la auditoria, es decir el área que fue evaluada.

4. Objetivos de la auditoríaSe deben declara los objetivos de la auditoria para identificar su propósito señalando también aquellos objetivos que no se pudieron cumplir.

5. Normatividad aplicada y excepcionesIdentificación y explicación de las normas legales y profesionales aplicadas en la auditoria, así como las excepciones significativas de uso y el posible impacto en los resultados de la auditoria.

6. Alcance de la auditoriaConcretar la naturaleza y extensión del trabajo realizado: área organizativa, periodo de la auditoria, sistemas de información, señalando limitaciones al alcance y restricciones del auditado.

7. Conclusiones: informe corto de opinión Se debe de redactar los resultados a través del dictamen y opinión. Existen diferentes tipos de opinión que puede llevar el informe:- Opinión favorable: Debe de manifestarse de forma clara y precisa, es

el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo con la normatividad legal y profesional.

- Opinión con salvedades: Se utilizaran cuando sean significativas en relación con los objetivos de auditoría, describiéndose con precisión la naturaleza y razones.

Según las circunstancias podrían ser:

Limitaciones al alcance del trabajo realizado, es decir, restricciones por parte del auditado.

Incertidumbre cuyo resultado no permita una previsión razonable. Irregularidades significativas Incumplimiento de la normatividad legal y profesional


- Opinión desfavorable: esta opinión es aplicable en caso de:

Identificación de irregularidades Incumplimiento de la normatividad legal y profesional

- Opinión denegada: la denegación de la opinión puede tener origen en:

Las limitaciones al alcance de la auditoria Incertidumbres significativas de un modo tal que impidan al

auditor formarse una opinión Irregularidades Incumplimiento de la normatividad legal y profesional.

8. Resultados: informe largo

9. Informes previos (no es necesario)

10.Fecha del informeEsta fecha es importante para conocer la magnitud del trabajo y sus aplicaciones. Se debe precisar las fechas de inicio y conclusión del trabajo de campo, incluyendo la del cierre del ejercicio en caso de que se esté realizando un informe de auditoría como herramienta de apoyo a la auditoría de cuentas.

11. Identificación y firma del auditor

12.Distribución del informeSe debe definir quién o quiénes podrán hacer uso del informe, así como usos concretos que tendrá.

UNIDAD 2. AUDITORÍA DE LA DIRECCIÓN INFORMÁTICA

Algunas de las actividades básicas de todo proceso de dirección son:

PlanificarSe trata d prever la utilización de tecnologías de la información en la empresa. Existen varios tipos de planes informáticos. El principal lo constituye el Plan Estratégico de Sistemas de Información.Este plan es el marco básico de la actuación de los Sistemas de Información en la empresa. El cual debe de asegurar los alineamientos de los mismos con los objetivos de la propia empresa.Independientemente de la metodología, los plazos y las acciones concretas llevadas a cabo, debe existir un proceso, con participación activa de los


usuarios, que regularmente elabore planes estratégicos de sistemas de información a largo plazo, cualquiera que sea ese largo, el auditor debe de evaluar su adecuación.

Organizar y CoordinarEl proceso de organizar sirve estructurar los recursos, flujos de información y controles que permitan alcanzar los objetivos marcados durante la planificación.

ControlarLa tarea de dirigir no puede considerarse completa sin esta faceta que forma parte de la responsabilidad.En esta labor, es muy conveniente que existan estándares de rendimiento con los que comparar las diversas tareas. Son aplicables a las diversas facetas del Departamento: consumo de recursos del equipo, desarrollo, operaciones, etc.

1.1.Examen de organigrama

La organización debe estar estructurada de tal forma que permita lograr eficiente y eficazmente los objetivos, y que esto se logre a través de una adecuada toma de decisiones.

a) Revisión de la estructura orgánica Jerarquías ( definición de la autoridad lineal, funcional y de

asesoría) Estructura orgánica Funciones Objetivos

Una forma de evaluar la forma en que la dirección informática se está desempeñando es mediante la evaluación de las funciones que la alta dirección debe realizar.

1.2.Revisión de la documentación relacionada con la dirección

La revisión de la documentación de las empresas y la de los trabajadores, es un elemento clave en las auditorías sociales.

En combinación con las entrevistas a los trabajadores, la revisión ayudará a los auditores a obtener una idea más clara sobre las condiciones de trabajo y empleo de la empresa auditada, incluyendo horas de trabajo, salarios y deducciones, y cualquier queja levantada por los trabajadores.

Generalmente, los auditores revisan una variedad de documentos; incluyendo comprobantes de pago, políticas y procedimientos empresariales, contratos


laborales, y otros documentos relevantes en el monitoreo de las condiciones de empleo de los trabajadores de la empresa. Cuando una auditoría cubrirá los temas de contratación y reclutamiento justo, la revisión debería ser más profunda y extensa. Se profundiza la revisión de dicha documentación, con el fin de examinar a mayor nivel de detalle las condiciones de reclutamiento y empleo que enfrentan los trabajadores migrantes. Ésta se lleva a cabo de una manera más extensa; y su alcance va más allá de la instalación y su fuerza laboral, ya que incluye una revisión de las operaciones de los intermediarios laborales, y los trabajadores reclutados y manejados por dichos intermediarios.

Se deben revisar el grado de cumplimiento de documentos administrativos:

- Organización- Normas y políticas- Planes de trabajo- Controles- Estándares- Procedimientos

1.3.Entrevistas a directivos

El director de informática o aquellas personas que tengan un cargo directivo deben llenar los cuestionarios sobre estructura orgánica, funciones, objetivos y políticas.

Entrevista: El auditor entrevista al auditado con alguna finalidad concreta. Se recaba mucha información que posiblemente no se obtendría por otros medios.

La entrevista se realizará sin tensión y de manera correcta. El auditor evitará dar sensación de interrogatorio y utilizar jergas que puedan dificultar el entendimiento de la pregunta realizada. Igualmente, el entrevistado no usará jergas que el auditor no comprenda.

El auditado ha de sentirse lo más cómodo posible y el entrevistador debe inspirar confianza. Además, las preguntas que formule el entrevistador no deben conducir a la respuesta. Los auditores deben tener la capacidad de captar información no verbal, como gestos realizados por el entrevistado, las posturas, los silencios... y reacciones del entrevistado ante determinadas preguntas.

El auditor selecciona a qué funciones entrevistará. Pueden ser: directivos, jefes de proyecto, analistas, programadores, usuarios, técnicos de sistemas, administradores de bases de datos, auditores internos (si se trata de una auditoría externa), responsables de seguridad, responsables de desarrollo... o cualquier función de la organización que le aporte información relevante.

Después de elegir la persona (o personas) a entrevistar, se debe elegir la fecha, hora y el lugar. El auditor evitará la hora de la comida, la primera hora o el final de la jornada. Respecto al lugar, es preferible que el lugar donde se realice la


entrevista sea un despacho o una sala de reuniones aislados. Además, es deseable avisar con antelación a la persona aunque, en ocasiones, es imprescindible el factor sorpresa.

Finalmente, el auditor realizará un resumen de la entrevista y, en un futuro, podrá ampliar la entrevista al auditado.

1.4.Evaluación

Para lograr la evaluación de la dirección informática se debe solicitar el manual de la organización de la misma, el cual debe comprender:

Organigrama con jerarquías Funciones Objetivos y políticas Análisis, descripción y evaluación de puestos Manual de procedimientos Manual de normas Instructivos de trabajo o guía de actividad

También se debe solicitar

- Objetivos de la dirección- Políticas y normas de la dirección- Planeación

UNIDAD 3. AUDITORÍA DE LA SEGURIDAD FÍSICA

1.1.Concepto de seguridad física

La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales. Si se entiende la contingencia o proximidad del daño como la definición de riesgo a fallo, local o general, tres serían las medidas a preparar para ser utilizadas en relación con la cronología del fallo:

- AntesObtener y mantener un nivel adecuado de seguridad física sobre los activos de la organización, este nivel se refiere al conjunto de acciones utilizadas para evitar el fallo, o en su caso, aminorar las consecuencias que de él puedan derivar.

Ubicación del edificio Compartimentación Elementos de construcción Potencia eléctrica Sistemas contra incendios Control de accesos


Selección del personal Seguridad de los medios Medidas de protección Duplicación de medios

- DuranteEjecutar un plan de contingencias adecuado. Cabe definir que desastre es cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el proceso normal de una empresa.

- Después Hacer un recuento de las pérdidas, gastos y responsabilidades que se pueden derivar una vez detectado y corregido el fallo.

Objetivos de la seguridad física quedan indicados de la siguiente forma:

Edificio Instalaciones Equipamiento y telecomunicaciones Datos personas

1.2.Áreas a revisar

Las instalaciones en las que el auditor ha de interesarse es donde se encuentran los elementos accesorios que ayudan a la realización de la función informática y, a la vez, proporcionar seguridad a las personas, al software y a los materiales. Algunas de estas son:

Instalación eléctrica y suministro de energía

Uno de los dispositivos que deben ser evaluados y controlados con mayor cuidado es la instalación eléctrica, ya que no solo puede provocar fallas de energía que pueden producir perdidas de información y de trabajo, sino es uno de los principales provocadores de incendios.

El auditor debe auxiliarse de un especialista para evaluar el adecuado funcionamiento del sistema eléctrico y el suministro de energía.

Detección de humo y fuego, extintores

Otro de los aspectos que deben ser evaluados es la utilización de detectores de fuego y humo, tomando en cuenta la cercanía o no con los aparatos de aire acondicionado, ya que estos pueden difundir el calor o el humo y no permitir que se active el detector.


Estos detectores deben ser instalados en los centros de cómputo, áreas de oficina, incluyendo el depósito de papelería y el perímetro físico de las instalaciones.

En cuanto a los extintores, se debe revisar el número de estos, su capacidad, fácil acceso, peso y tipo de producto que utilizan.

1.3.Evaluación de riesgos

Se trata de identificar los riesgos, cuantificar su probabilidad e impacto, y analizar medidas que lo eliminen o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto.

Para evaluar el riesgo hay que considerar:

- El tipo de información almacenada, procesada y transmitida- La criticidad de las aplicaciones - La tecnología usada- El marco legal aplicable- El sector de la entidad- La entidad misma- El momento

Una vez identificados y medidos los riesgos, lo mejor sería poder eliminarlos, pero lo más que se puede conseguir es disminuir la probabilidad de que algo se produzca o bien su impacto: con sistemas de detección, de extinción, revisiones periódicas, copiando archivos críticos (respaldo), exigiendo contraseñas u otros controles según sea el caso.

La evaluación de riesgos puede ser global: todos los sistemas de información, centros y plataformas, pero también puede producirse una evaluación parcial de riesgos, tanto por áreas como por centros, departamentos, redes o aplicaciones, así como previa a un proyecto, como puede ser una aplicación a iniciar.

1.4.Fuentes a utilizar

Adquisición de la información

Plan de contingencias

El plan de contingencias y el plan de seguridad tienen la finalidad de proveer a la organización los requerimientos para su recuperación ante desastres.

Los desastres pueden clasificarse en:

- Destrucción completa del área informática- Destrucción parcial del área informática- Destrucción o mal funcionamiento de los equipos auxiliares del are

informática (electricidad, aire acondicionado, etc.)


- Destrucción parcial o total de los equipos descentralizados- Pérdida total o parcial de información, manuales o documentación- Pérdida del personal clave- Huelga o problemas laborales

Definición:

La identificación y protección de los procesos críticos de la organización y los recursos requeridos para mantener un aceptable nivel de transacciones y de ejecución, protegiendo estos recursos y preparando procedimientos para asegurar la sobrevivencia de la organización en caso de desastre.4

Estrategia planificada constituida por:

- Conjunto de recursos de respaldo - Organización de emergencia- Procedimientos de actuación para una restauración progresiva y ágil de los

servicios del negocio afectados.

Objetivos:

Minimizar el impacto de desastre en la organización Establecer tareas para evaluar los procesos indispensables de la

organización Evaluar los procesos de la organización, con el apoyo y autorización

respectivos a través de una buena metodología Determinar el costo del plan de recuperación, incluyendo la capacitación y

la organización para restablecer los procesos críticos de la organización cuando ocurra una interrupción de las operaciones

Fases:

1) Análisis y diseño

Se estudia la problemática, las necesidades de recursos, las alternativas de respaldo, y se analiza el costo/beneficio de las mismas. Durante esta etapa se identifican los procesos críticos o esenciales y sus repercusiones en caso de no estar en funcionamiento.

Clasificar la instalación en términos de riesgo (alto, mediano, pequeño) e identificar las aplicaciones que tengan un alto riesgo.

Cuantificar el impacto en caso de suspensión del servicio en aquellas aplicaciones con alto riesgo

Se debe evaluar el nivel de riesgo de la información para hacer un estudio costo/beneficio entre el costo por pérdida de información y el costo de un sistema de seguridad.

4 Auditoria informática – José Antonio Echenique García, Mc Graw Hill, 2ª. Edición


Para evaluar la instalación en términos de riesgo se debe:

- Clasificar los datos, la información y los programas que contengan información confidencial de alto valor dentro del mercado de competencias de una organización, así como la información que sea de difícil recuperación.

- Identificar aquella información que tenga un gran costo financiero en caso de pérdida o bien que se pueda provocar un gran impacto en la toma de decisiones.

- Determinar la información que pueda representar una gran pérdida en la organización y provocar de esta manera la posibilidad de que no se pueda sobrevivir sin esa información.

Para cuantificar el riesgo es necesario que se efectúen entrevistas con los altos niveles administrativos directamente afectados por la suspensión en el procesamiento para que cuantifiquen el impacto que les puede causar este tipo de situaciones.

2) Selección de la estrategia

Ya que se tiene definido el grado de riesgo, se debe elaborar una lista de sistemas con las medidas preventivas que se deben tomar, así como las correctivas en caso de desastre, señalándole a cada función su prioridad.

Se deben identificar y comentar procesos alternativos para procesos identificados como críticos en la organización.

3) Desarrollo del plan

En estafase se desarrolla la estrategia seleccionada implantándose hasta el final todas las acciones previstas. Se definen las distintas organizaciones de emergencia y se desarrollan los procedimientos de actuación generando así la documentación del plan.

Al finalizar el plan de contingencia este debe contener:

El señalamiento de los procesos críticos Su impacto Su prioridad Tiempo en que puede estar fuera de servicio Información existente de cada proceso (procedimientos y políticas) Documentación para la recuperación Por cada proceso se requiere del usuarios de:

- Software- Hardware- Recursos materiales- Personal


- Consumibles- Utilerías- Sistemas de comunicación- Redes- Transporte- Base de datos- Archivos (respaldos)

El plan en caso de desastre debe incluir

La documentación de programación y de operación Los equipos El equipo completo El ambiente de los equipos Datos, archivos, papelería, equipo y accesorios Sistemas (sistemas operativos, base de datos, programas de utilería,

programas, etc.)

4) Pruebas y mantenimiento

Se definen las pruebas, sus características y sus ciclos, y se realiza la primera prueba como comprobación de todo el trabajo realizado, así como mentalizar al personal implicado.

Asi mismo se define la estrategia de mantenimiento, la organización destinada a ello, la normativa y procedimientos necesarios para llevarlo a cabo.

UNIDAD 4. AUDITORÍA DE SERVICIOS DE SUBCONTRATACIÓN

1.1.Subcontratación de servicios en TI

Outsourcing o Tercerización (también llamada subcontratación), es una técnica que consiste en la transferencia a terceros de ciertos procesos complementarios que no forman parte del giro principal del negocio, permitiendo la concentración de los esfuerzos en las actividades esenciales a fin de obtener competitividad y resultados tangibles.

También se puede definir como la subcontratación de servicios que busca agilizar y economizar los procesos productivos para el cumplimiento eficiente de los objetos sociales de las instituciones, de modo que las empresas se centren en lo que les es propio.

Objetivos del outsourcing.


Los principales objetivos que pueden lograrse con la contratación de un servicio de outsourcing son los siguientes:

- Optimización y adecuación de los costos relacionados con la gestión, en función de las necesidades reales.

- Eliminación de riesgos por obsolescencia tecnológica. - Concentración en la propia actividad de la organización.

1.2.Contratos: características, alcance

Contrato: Es un documento de carácter legal que recoge el alcance y características del servicio de outsourcing. El contrato de outsourcing debe definir los siguientes aspectos:

- Su duración. - Las condiciones de la cesión de los activos (tanto económicas como de

otro tipo) referidos al momento inicial del acuerdo entre la Administración y el contratista.

- Las condiciones de la gestión de los SI a llevar a cabo durante el contrato (nivel de servicio).

- Las condiciones de recuperación de la gestión de los SI una vez finalizado el contrato.

- La propiedad intelectual, especialmente si se traspasa al proveedor la responsabilidad del desarrollo de aplicaciones.

- Las condiciones previstas para la resolución del contrato con anterioridad a la fecha de su finalización prevista.

1.3.Acuerdos del nivel de servicio

Nivel de servicio: El nivel de servicio define el ámbito de aplicación del servicio (operación, mantenimiento, desarrollo, etc.), para sistemas de información concretos y la forma exacta de llevarlo a cabo. Es uno de los puntos más importantes de un contrato de outsourcing y debe ser fácilmente medible. Para el establecimiento del nivel de servicio suele ser usual la realización conjunta, entre la organización contratante y la empresa de outsourcing, de las siguientes actividades:

- Análisis de viabilidad que defina el ámbito de aplicación. - Análisis detallado que determine minuciosamente todos y cada uno de

los compromisos concretos que van a ser contraídos por ambas partes.

CARACTERÍSTICAS.

Relativas al contrato entre las partes.


Su elaboración es compleja, puesto que debe establecer claramente las responsabilidades de ambas partes en cualquier aspecto, no sólo del nivel de servicio actual sino también del nivel de servicio futuro.

Suele tener una duración de varios años. En el sector privado tiene una duración no menor a 5 ó 7 años, siendo habitual un período de 10 años.

Uno de los aspectos más importantes del contrato es la definición de su resolución (finalización), el establecimiento de salidas programadas antes de cumplirse el plazo acordado, así como los períodos de preaviso en caso de reversión del servicio.

Junto con los conceptos financieros, a lo largo de todo el proceso de evaluación se deben establecer criterios de transferencia de personal (para el caso de que existan).

El alcance del contrato es a la medida, es decir, podrá ser tan amplio como lo deseen las partes contratantes.

Debe ser flexible para que la Administración pueda cambiar los requisitos del servicio y el proveedor pueda cambiar los medios con los que lo da. Mientras que un contrato de outsourcing se firma para que sea válido durante años, los requisitos de tecnología están en constante evolución.

Acuerdo de Nivel de Servicio (SLA)

El SLA debe recoger en un lenguaje no técnico, o cuando menos comprensible para el cliente, todos los detalles de los servicios brindados.

Tras su firma, el SLA debe considerarse el documento de referencia para la relación con el cliente en todo lo que respecta a la provisión de los servicios acordados, por tanto, es imprescindible que contenga claramente definidos los aspectos esenciales del servicio tales como su descripción, disponibilidad, niveles de calidad, tiempos de recuperación, etc.

Los SLAs deben contener una descripción del servicio que abarque desde los aspectos más generales hasta los detalles más específicos del servicio.

Es conveniente estructurar los SLAs más complejos en diversos documentos de forma que cada grupo involucrado reciba exclusivamente la información correspondiente al nivel en que se integra, ya sea en el lado del cliente como del proveedor.

La elaboración de un SLA requiere tomar en cuenta aspectos no tecnológicos entre los que se encuentran:

La naturaleza del negocio del cliente. Aspectos organizativos del proveedor y cliente. Aspectos culturales locales.


1.4.Programa de auditoría al área de servicios de subcontratación

PASOS DE LA METODOLOGÍA

- FASE 0 INICIO DEL PROYECTO.

¿Qué hace? Identifica el alcance de lo que se está considerando para el outsourcing. Establece los criterios, las marcas importantes iniciales y los factores "adelante / alto" para las decisiones iniciales. Asigna recursos iniciales para "poner la semilla" del proyecto.

¿Cuánto tiempo? De dos a cuatro semanas. ¿Quién participa? Esta fase es iniciada por el gerente ejecutivo o un

miembro del consejo que esté patrocinando el estudio de factibilidad. ¿Qué se entrega? Un documento que establece el alcance del proyecto y

las cuestiones administrativas. ¿Qué se decide? Examinar (o no) los beneficios estratégicos.

- FASE 1 EVALUACIÓN.

¿Qué hace? Examina la factibilidad del outsourcing; define el alcance y los límites del proyecto e informa en qué grado el proyecto satisfará los criterios establecidos.

¿Cuánto tiempo? De cuatro a seis semanas. ¿Quién participa? Un pequeño equipo encabezado por el patrocinador, por

lo menos un gerente de una función (por ejemplo: de finanzas o recursos humanos), que no se vea personalmente afectado por el resultado de la evaluación.

¿Qué se entrega? Un estudio de factibilidad o de otro tipo. Una decisión acerca de si se debe o no proceder a la etapa de planeación

¿Qué se decide? Decisión acerca de proceder o no.

- FASE 2 PLANEACIÓN DETALLADA.

¿Qué hace? Establece los criterios para la licitación, define los detalles para los requisitos y prepara una lista breve de invitaciones para el concurso.

¿Cuánto tiempo? De ocho a diez semanas. ¿Quién participa? El equipo formado durante la fase 1, más un

representante de compras (o abastecimientos o contratos), del departamento jurídico y de recursos humanos, en caso de que no estén representados.

¿Qué se entrega? Un plan para el proceso de licitación, incluyendo documentación para la licitación, descripción de los servicios, borradores de


acuerdos del nivel de servicios y una estrategia para las negociaciones con los proveedores.

¿Qué se decide? A quien se invita a conservar, bajo que criterios y las medidas de desempeño.

- FASE 3 CONTRATACIÓN.

¿Qué hace? Selecciona a un contratista preferido como resultado de un proceso de licitación. Identifica a un proveedor de respaldo.

¿Cuánto tiempo? De tres a cuatro meses. ¿Quién participa? El equipo central de la fase de planeación. Puede incluir

asesores externos. Participarán contratistas potenciales y sus socios. ¿Qué se entrega? Invitación a concursar. Acuerdos de nivel de servicios.

Los encabezados del acuerdo. Contratos. Plan para la transferencia del servicio al subcontratista.

¿Qué se decide? La concesión del contrato. A quien, para que servicio, durante cuánto tiempo, con qué criterios de medición.

- FASE 4 TRANSICIÓN DEL NUEVO SERVICIO.

¿Qué hace? Establece los procedimientos para la administración de la función subcontratada. Transfiere la responsabilidad formal de las operaciones. Transfiere personal y activos según se haya acordado.

¿Cuánto Tiempo? De dos a tres meses. ¿Quién participa? El equipo central y el gerente de función de la función

subcontratada. Recursos humanos, usuarios, gerencia y personal del proveedor.

¿Qué se entrega? Un plan de transición. Documentación de los procedimientos de administración y revisión. Entrega de la responsabilidad formal al subcontratista.

¿Qué se decide? Procedimientos de terminación. Fecha de entrega del servicio.

- FASE 5 ADMINISTRACIÓN Y REVISIÓN.

¿Qué hace? Revisa el contrato en forma regular, comparándolo contra los niveles de servicios acordados. Plantea las negociaciones para tomar en cuenta los cambios y requerimientos adicionales.

¿Cuánto tiempo? De uno a cinco años, dependiendo de la duración del contrato. Normalmente es de tres a cinco años.

¿Quién Participa? Representante del contratista responsable de la entrega del servicio. Representante de la función del usuario, responsable de la administración del contrato y del proveedor.


¿Qué se entrega? Un servicio administrado. Revisiones regulares. Ausencia de sorpresas.

¿Qué se decide? Verificación anual de la validez de la evaluación original. Decisión sobre la continuación del contrato.

UNIDAD 5. AUTIDORÍA DE BASES DE DATOS

1.1.Concepto de la auditoría de la base de datos

Una base de datos es un depósito común de documentación, útil para diferentes usuarios y distintas aplicaciones, que permite la recuperación de la información adecuada para la resolución de un problema planteado en una consulta.

1.2.Diseño y carga

Fase en la que se llevan a cabo los diseños lógico y físico de la base de datos, por lo que el auditor tendrá que examinar y revisar si estos diseños se han realizado correctamente, determinando:

- Si la definición de los datos contempla además de su estructura, las asociaciones y las restricciones oportunas así como las especificaciones de almacenamiento de datos y las cuestiones relativas a la seguridad.

El auditor tendrá que tomar una muestra de ciertos elementos (tablas, vistas, índices) y comprobar que su definición es completa, y ha sido aprobada por el usuario y que el administrador de la base de datos participó en su establecimiento.

Una vez diseñada la base de datos (BD), se procederá a su carga, ya sea migrando datos de un soporte magnético o introduciéndolos manualmente.

Estas migraciones o conversiones de sistemas, como el paso de un sistema de archivos a uno de base de datos, deberán estar claramente planificadas para evitar pérdida de información y la transmisión al nuevo sistema de datos erróneos.

1.3.Explotación y mantenimiento

En esta fase, se debe comprobar que se establecen los procedimientos de explotación y mantenimiento que aseguren que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas sólo se modifica mediante la autorización adecuada.

1.4.Revisión post-implantación

Se debería establecer el desarrollo de un plan para efectuar la revisión post-implantación de todo sistema nuevo o modificado con el fin de evaluar sí:


- Se han conseguido los resultados esperados- Se satisfacen las necesidades de los usuarios- Los costes y beneficios coinciden con los previstos

1.5.SGBD

Componentes de un Sistema Gestor de Base Datos (SGBD):

Núcleo (Kernel) Catalogo (Componente fundamental para asegurar la seguridad de la base

de datos) Utilidades para el administrador Archivos diarios

El auditor deberá revisar, por tanto, la utilización de todas las herramientas que ofrece el propio SGBD y las políticas y procedimientos que sobre su utilización haya definido el administrador para evaluar si son suficientes o si deben ser mejorados.

UNIDAD 6. AUDITORÍA DE SISTEMAS

1.1.Concepto de la auditoría de sistemas

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

1.2.Desarrollo de sistemas

En esta etapa se debe auditar los programas, su diseño, el lenguaje utilizado, la interconexión entre programas y las características del hardware empleado para el desarrollo del sistema.

1.3. Instalación y puesta en servicio

Comprende todas las actividades para conseguir el funcionamiento adecuado del elemento en cuestión:

- Planificación: procedimiento general del suministrador adaptado a la instalación concreta.

- Documentación: inventario de componentes del elemento y normas de actualización.

- Parametrización: valores de parámetros del sistema en función del resto de elementos planificados.

- Pruebas: verificaciones a realizar y sus resultados.


Debe partirse de los documentos existentes en la organización sobre normativa general: estructura organizativa, normativas de instalación, metodología general de proyectos y demás informaciones que puedan y deban condicionar su instalación.

1.4.Mantenimiento y soporte

Comprende el conjunto de acciones necesarias para la puesta al día del elemento, así como la asistencia de terceros para la consecución de dicha puesta al día y la asistencia para prestar a otros colectivos para facilitar la información necesaria sobre el sistema y sus herramientas para su mejor utilización.

- Planificación: Control del periodo de garantía y comienzo del mantenimiento del elemento.

- Documentación: procedimiento para contactar con el soporte.- Parametrización: adaptación de los parámetros del sistema en función de

nuevos requerimientos o como resultado de nuevas versiones o resolución de incidencias.

- Pruebas: verificaciones de los cambios o adaptaciones realizadas.

1.5.Resolución de incidencias

Procedimiento para registrar, analizar, diagnosticar, calificar y seguir las incidencias que se produzcan en relación con el elemento en cuestión con el objeto de su resolución.

Registrar: crear un formulario que permita recoger los datos que identifican la anomalía, momento en que se produjo, elementos y servicios/usuarios afectados, daños producidos y/o que pueden producirse, entorno del problema, y una descripción.

Analizar: buscar una relación entre el efecto y sus posibles causas, para lo que se cuenta, además de los comentarios de los observadores, con la experiencia del técnico que trata la incidencia y la información ya registrada sobre otras incidencias producidas que pudieran estar relacionadas o responder a la misma causa u otra parecida.

Diagnosticar: determinar de entre las causas posibles aquella que tuviera más probabilidad de resultar el origen del problema una vez analizada la información disponible.

Calificar: dato importante en el enfoque de la resolución.

Resolución: para resolver definitivamente un problema hace falta conocer la causa y la forma de evitar que se reproduzcan las condiciones origen.

Seguimiento: acción continua y normalizada para conseguir el diagnostico de una incidencia y la persecución de su resolución.


1.6.Seguridad y control

La protección debe considerar tanto la posibilidad de hechos fortuitos como malintencionados. Los primeros se evitarán partiendo de una formación adecuada y competencia profesional más la organización establezca unos procedimientos que incluyan elementos de control. Los malintencionados se prevendrán mediante una política del personal adecuada y unos procedimientos que eviten concentración de tareas y consideren la segregación de funciones y los correspondientes controles.

Es necesario proteger los accesos a la información y funciones con criterio de mínimos reservando funciones y acceso especiales a niveles de responsabilidad superiores con los controles adecuados.

Los grupos de controles se mencionan a continuación:

- Controles directivos: Establecen las bases como las políticas o creación de comités relacionados o de funciones; de administración de seguridad o de auditoría de sistemas de información interna.

- Controles preventivos: Antes del hecho, como la identificación de visitas (seguridad física) o las contraseñas (seguridad lógica).

- Controles de detección: Como determinadas revisiones de accesos producidos o la detección de incendios.

- Controles correctivos: para rectificar errores, negligencias o acciones intencionadas, como la recuperación de un archivo dañado a partir de una copia.

- Controles de recuperación: facilitan la vuelta a la normalidad después de accidentes o contingencias, como puede ser un plan de continuidad adecuado.

UNIDAD 7. AUDITORÍA DE LA SEGURIDAD LOGICA

1.1.Concepto de la seguridad lógica

La seguridad lógica se encarga de los controles de acceso que están diseñadas para salvaguardar la integridad de la información almacenada de una computadora, así como de controlar el mal uso de la información. Estos controles reducen el riesgo de caer en situaciones adversas.

La seguridad lógica se encarga de controlar y salvaguardar la información generada por los sistemas, por el software de desarrollo y por los programas en aplicación; identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso específico, de redes y terminales.


Para poder definir la seguridad en un sistema es necesario considerar el grado de actuación que puede tener un usuario dentro de un sistema, ya se a que la información se encuentre en un archivo normal o en una base de datos. Para ello se pueden definir los siguientes tipos de usuarios:

a) Propietario: dueño de la información y responsable de esta, puede realizar cualquier función (consultar, modificar, actualizar, dar autorización a usuarios, etc.). Es responsable de la seguridad lógica.

b) Administrador: Solo puede actualizar o modificar el software con la debida autorización, pero no puede modificar la información. Es responsable de la seguridad lógica y de la integridad de los datos.

c) Usuario principal: Autorizado por el propietario para hacer modificaciones, cambios, lectura y utilización de los datos pero no puede dar autorización a otros usuarios.

d) Usuario de consulta: solo puede leer la información pero no puede modificarla.

e) Usuario de explotación: puede leer la información y explotarla, especialmente para hacer reportes de diferente índole.

f) Usuario de auditoria: puede utilizar la información y rastrearla dentro del sistema para fines de auditoria.

1.2.Consecuencias y riesgos

La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización:

Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y/o información. Código oculto en un programa. Entrada de virus.

La seguridad lógica puede evitar una afectación de perdida de registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas.

1.3.Rutas de acceso

Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema.

Un usuario puede pasar por uno o múltiples niveles de seguridad antes de obtener el acceso a los programas y datos. Los tipos de restricciones de acceso son:

- Sólo lectura- Sólo escritura- Lectura y consulta- Lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar.


El esquema de rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema. El auditor debe conocer las rutas de acceso para la evaluación de los puntos de control apropiados.

1.4.Claves de acceso

Un área importante en la seguridad lógica es el control de claves de acceso de los usuarios. Existen diferentes métodos de identificación para el usuario:

Un password o código Una credencial con banda magnética Algo específico del usuario (características propias)

Password, código o llaves de acceso. La identificación de los individuos está asociada con un password o clave de acceso. Las claves de acceso pueden ser usadas para controlar el acceso o funciones específicas.

Características de las llaves de acceso:

El sistema debe verificar primero que el usuario tenga una llave de acceso válida.

La llave de acceso debe ser de una longitud adecuada para ser un secreto. La llave de acceso no debe ser desplegada cuando es tecleada. Las llaves de acceso deben ser encriptadas, reduciendo así el riesgo de

que alguien obtenga la llave de acceso de otras personas. Las llaves de acceso deben de prohibir el uso de nombres, palabras o

cadenas de caracteres difícil de retener. Se recomienda la combinación de caracteres alfabéticos y numéricos.

Credenciales con banda magnética. La banda magnética de las credenciales es frecuentemente usada para entrar al sistema.

La ventaja más importante de la credencial es prevenir la entrada de impostores al sistema.

Validación por características. Método para la identificación de usuario, consiste en la verificación y reconocimiento de la identidad de las personas, basados en características propias.

Algunos de los dispositivos biométricos utilizados son:

- Huellas dactilares- La retina- La geometría de la mano- La firma- La voz


1.5.Software de control de acceso

Software diseñado para permitir el manejo y control de acceso a los recursos como: diccionarios de datos, archivos, programas, archivos de datos, etc.

Controla el acceso a la información, grabando e investigando los eventos realizados y el acceso a los recursos, por medio de la identificación del usuario.

Funciones:

a) Definición de usuariosb) Definición de las funciones del usuario después de accesar el sistema.c) Establecimiento de auditoría a través del uso del sistema.

El software de seguridad protege los recursos mediante la identificación de los usuarios autorizados con las llaves de acceso, que son archivadas y guardadas por este software.

1.6.Tipos de seguridad lógica (encriptamiento, firmas, certificados, llaves y otros)

Encriptamiento

Encriptar: arte de proteger la información transformándola con un determinado algoritmo dentro de un formato para que no pueda ser leída normalmente. Transformación de los datos en una forma en que no sea posible leerla por cualquier persona, al menos que cuente con la llave de desencriptación.5

El encriptamiento se usa para proteger mensajes de correo electrónico, firmas electrónicas, llaves de acceso, información de tipo financiero e información confidencial.

Los sistemas de encriptamiento pueden ser clasificados en sistemas de llave simétrica y sistemas de llave pública.

Se pueden utilizar algoritmos de clave simétrica o de clave asimétrica:

Los algoritmos de clave simétrica, también llamados de clave privada, utilizan la misma clave para cifrar y descifrar el mensaje. El remitente y el destinatario eligen la clave a utilizar antes del envío de mensajes.Algunos algoritmos de clave simétrica son: DES (Data Encryption Standard), Triple DES (variante del algoritmo DES) y AES (Advanced Encryption Standard).

Los algoritmos de clave asimétrica, o denominados de clave pública, emplean una clave para cifrar y otra clave distinta para descifrar. Cada persona posee un par de claves, una clave pública que entregan a

5 Auditoria en informática – José Antonio Echenique García, 2ª. Edición, McGrawHill


cualquier otra persona y la otra clave privada que solo conoce el propietario.

El remitente puede emplear la clave pública del destinatario para cifrar el mensaje y el receptor con su clave privada lo descifra. Si el remitente usa su clave privada para cifrar el mensaje, cualquier persona puede descifrarlo utilizando su clave pública. Existen varios algoritmos de clave asimétrica como RSA o Diffie-Hellman.

UNIDAD 8. AUDITORÍA DE LAS TELECOMUNICACIONES

1.1.Seguridad en telecomunicaciones

Todos los sistemas de comunicación, presentan una problemática común: la información transita por lugares físicamente alejados de las personas responsables.

1.2.Vulnerabilidades, amenazas y riesgos

Vulnerabilidad

La vulnerabilidad hace referencia al grado en que la gente es sensible a la pérdida, el daño, el sufrimiento y la muerte al ser objeto de un ataque. Varía de persona a persona y de grupo a grupo; y también, para la misma persona o grupo, varía en el tiempo. La vulnerabilidad siempre es relativa, porque todas las personas y todos los grupos son de alguna manera vulnerables. No obstante, todo el mundo tiene su propio nivel y tipo de vulnerabilidad, dependiendo de sus circunstancias. Veamos algunos ejemplos:

Vulnerabilidad y lugar físico: una defensora puede ser más vulnerable cuando está de viaje haciendo una visita de campo que cuando está en una oficina conocida por todos, pues es probable que en la oficina siempre haya testigos si se produce un ataque.

La vulnerabilidad puede relacionarse con no tener acceso a un teléfono, con poder usar transporte terrestre seguro o con tener buenos cerrojos en las puertas de una casa. Pero también está relacionada con la falta de redes de contactos y de acción conjunta de las y los propios defensores.

Vulnerabilidad, trabajo en equipo y miedo: si un defensor recibe una amenaza, tendrá miedo, y su trabajo se verá afectado por ese miedo. Si no sabe controlar su miedo (si no encuentra con quién hablarlo, buenos compañeros, etc.), es posible que cometa errores o que no tome la mejor decisión posible, lo que puede aumentar los problemas de seguridad.

Riesgo


El nivel de riesgo al que se enfrenta un grupo de defensoras o defensores de derechos humanos aumenta en relación a las amenazas recibidas y a la vulnerabilidad y la capacidad del grupo antes esas amenazas, como representamos en la siguiente ecuación:

Amenaza

Las amenazas representan la posibilidad de que alguien dañe la integridad física o moral de otra persona, o su propiedad, mediante una acción intencionada y a menudo violenta. La valoración de las amenazas nos será útil para saber qué probabilidad hay de que éstas se lleven a cabo.

Las amenazas incidentales surgen al menos por:

a) Encontrarse en zonas de enfrentamientos armados (“estar donde no tienes que estar en el peor momento posible”).

b) Ataques por delincuencia común, en especial si el trabajo de derechos humanos se hace en zonas especialmente peligrosas. Hay que señalar, no obstante, que muchos casos de delincuencia común encubren casos de targeting.

Tipos de amenazas:

- Targeting: amenazas que surgen por el trabajo que hacemos (pueden ser amenazas directas, contra alguien, e indirectas, contra personas relacionadas)

- Amenazas incidentales: emanan del contexto en que trabajamos (amenazas por delincuencia común, o por enfrentamientos armados en zonas de conflicto).

1.3.Objetivos y criterios a evaluar: seguridad en Internet (derechos de acceso, rectificación, cancelación y oposición), transferencias de datos, servicios de telefonía

Internet

La finalidad de las pruebas de Internet es poner en peligro la red de destino. La metodología necesaria para realizar esta prueba permite una comprobación sistemática de las vulnerabilidades conocidas y la búsqueda de posibles riesgos de seguridad. La metodología empleada habitualmente incluye los procesos de:

• Recogida de la información (reconocimiento)• Red de enumeración


• Análisis de la vulnerabilidad• Explotación• Resultados de los análisis e informes

Se debe hacer un análisis del riesgo de aplicaciones en los procesos.

Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones.

Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control

de seguridad asociado para impedir el acceso de equipos foráneos a la red. Deben existir políticas que prohíban la instalación de programas o equipos

personales en la red. Los accesos a servidores remotos han de estar inhabilitados. La propia empresa generará propios ataques para probar solidez de la red y

encontrar posibles fallos en cada una de las siguientes facetas:

o Servidores = Desde dentro del servidor y de la red interna.o Servidores web.o Intranet = Desde dentro.o Firewall = Desde dentro.o Accesos del exterior y/o Internet.

1.4.Técnicas y herramientas

- Utilización de cortafuegos

Una de las formas de proteger la red de otra red, por lo general un cortafuego puede verse como la unión de un mecanismo para bloquear el tráfico y otro para permitirlo.

Tipos de cortafuegos:

Todo lo que no está extremadamente permitido está prohibido.En este caso el cortafuegos se diseña para bloquear todo el tráfico, y los distintos servicios deben ser activados de forma individual tras el análisis del riesgo que representa su activación y la necesidad de uso.

Todo lo que no está extremadamente prohibido está permitido.Para este caso el administrador del sistema debe predecir qué tipo de acciones pueden realizar los usuarios que pongan en entredicho la seguridad del sistema, y preparar defensas contra ellas.

Cortafuegos a nivel de Red


Se trata de un encaminador (router) o una computadora especial que examina las características de los paquetes IP para decidir cuáles deben pasar y cuáles no.

Cortafuegos a nivel circuito

La seguridad está basada en el establecimiento, seguimiento y liberación de las conexiones que se realizan entre las maquinas internas y externas. Además realizan el seguimiento de los números de secuencia de la conexión buscando aquellos paquetes que no corresponden con conexiones establecidas.

Cortafuegos a nivel de aplicación

Ordenador que ejecuta software de servidor proxy. La palabra “proxy” significa “actuar por poderes” o “en nombre de otro”. Estos servidores se comunican con otros del exterior de la red en nombre de los usuarios, es decir, controlan el tráfico entre dos redes estableciendo la comunicación entre el usuario y él mismo y entre él mismo y el otro ordenador.


BIBLIOGRAFIA

[1] Auditoria informática José Antonio Echenique GarcíaMc Graw Hill, 2ª. Edición

[2] Auditoria en sistemas computacionalesCarlos Muñoz RazoEditorial Pearson

[3] Auditoría Informática, un enfoque prácticoMario G. PiattiniAlfaomega, 2ª. Edición

[4] OUTSOURCINGBachiller José Antonio RomeroURBE Maracaibo-VenezuelaAbril 2002

[5] SEGURIDAD LÓGICA Y DE ACCESOS Y SU AUDITORÍAMarta Monte de PazMarzo, 2010

REFERENCIAS BIBLIOGRAFICAS

[1] Auditorías de Tecnologías de la Información y Comunicaciónhttp://www.contraloria.gob.bo/portal/Auditor%C3%ADa/Auditor%C3%ADasTIC.aspx

[2] Revisión de la documentaciónhttps://www.verite.org/es/helpwanted/toolkit/revisi%C3%B3n-de-la-documentaci%C3%B3n

[3] Gestión de Niveles de Serviciohttp://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_niveles_de_servicio/proceso_gestion_de_niveles_de_servicio/implementacion_de_niveles_de_servicio.html


Documents

antologia_auditoria (1).docx