333

INSTITUTO TECNOLÓGICO DE MATEHUALA

LICENCIATURA EN INFORMATICA
VIII SEMESTRE
MATERIA: AUDITORIA DE LA FUNCION
INFORMATICA
PROFESOR: HECTOR ELOY TORRES CORDOVA

TEMAS:

UNIDAD 4: EVALUACIÓN DE LA SEGURIDAD

UNIDAD 5: AUDITORIA DE LA SEGURIDAD EN LA

TELEINFORMÁTICA

ELABORADO POR:

MIRIAM PAOLA VILLANUEVA QUIROZ

1
MATEHUALA S. L. P A 26 DE MARZO DE
2010
TEMA PAGINA
3
4.1 GENERALIDADES DE SEGURIDAD AREA FISICA
7
4.2 SEGURIDAD LOGICA Y CONFIDENCIAL
12
4.3 SEGURIDAD PERSONAL
12
4.4 CLASIFICACION CONTROLES DE SEGURIDAD
13
4.5 SEGURIDAD DE DATOS Y SOFTWARE DE APLICACIÓN
18
4.6 CONTROLES PARA EVALUAR SOFTWARE DE APLICACION
20
4.7 CONTROLES PARA PREVENIR CRÍMENES Y FRAUDES
INFORMATICOS
22
4.8 PLAN DE CONTINGENCIA SEGUROS PROCEDIMIENTOS DE
RECUPERACION DE DESASTRES
23
4.9 TECNICAS HERRAMIENTAS RELACIONADAS CON
SEGURIDAD FISICA Y DEL PERSONAL
25
4.10 TECNICAS Y HERRAMIENTAS RELACIONADAS CON
SEGURIDAD DE DATOS Y SOFTWARE DE APLICACIÓN
27
UNIDAD 5 AUDITORIA DE LA SEGURIDAD EN LA
TELEINFORMÁTICA
27
5.1 GENERALIDADES SEGURIDAD ÁREA TELEINFORMÁTICA
28
5.2 OBJETIVOS CRITERIOS DE AUDITORIA AREA
TELEINFORMÁTICA
29
5.3 SÍNTOMAS DE RIESGO TELEINFORMÁTICA
5.4 TECNICAS Y HERRAMIENTAS AUDITORIA RELACIONADAS 30
CON SEGURIDAD TELEINFORMÁTICA
BIBLIOGRAFIA 31

2
 INDICE

UNIDAD 4 EVALUACIÓN DE LA
SEGURIDAD

4.1 GENERALIDADES DE SEGURIDAD AREA FISICA

Es muy importante ser consciente que por más que nuestra empresa sea la más
segura desde el punto de vista de ataques externos, Hackers, virus, etc.
(conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto
como combatir un incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de
un sistema informático. Si bien algunos de los aspectos tratados a continuación se
prevén, otros, como la detección de un atacante interno a la empresa que intenta a
acceder físicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar
una cinta de la sala, que intentar acceder vía lógica a la misma.

Así, la Seguridad Física consiste en la “aplicación de barreras físicas y

procedimientos de control, como medidas de prevención y contramedidas ante
amenazas a los recursos e información confidencial”(1). Se refiere a los controles
y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como
los medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.

TIPOS DE DESASTRES

No será la primera vez que se mencione en este trabajo, que cada sistema es
único y por lo tanto la política de seguridad a implementar no será única. Este
concepto vale, también, para el edificio en el que nos encontramos. Es por ello
que siempre se recomendarán pautas de aplicación general y no procedimientos
específicos. Para ejemplificar esto: valdrá de poco tener en cuenta aquí, en Entre

3
Ríos, técnicas de seguridad ante terremotos; pero sí será de máxima utilidad en
Los Angeles, EE.UU.

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por
el hombre como por la naturaleza del medio físico en que se encuentra ubicado el
centro.

Las principales amenazas que se prevén en la seguridad física son:

Desastres naturales, incendios accidentales tormentas e inundaciones.

Amenazas ocasionadas por el hombre.

Disturbios, sabotajes internos y externos deliberados.

No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener
la máxima seguridad en un sistema informático, además de que la solución sería
extremadamente cara.

A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta
con llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en
cualquier entorno.

A continuación se analizan los peligros más importantes que se corren en un

centro de procesamiento; con el objetivo de mantener una serie de acciones a
seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y
corrección de los diferentes tipos de riesgos.

Incendios

Inundaciones

Se las define como la invasión de agua por exceso de escurrimientos superficiales o por
acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.

Esta es una de las causas de mayores desastres en centros de cómputos.

Además de las causas naturales de inundaciones, puede existir la posibilidad de una

inundación provocada por la necesidad de apagar un incendio en un piso superior.

4
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo
impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas
para contener el agua que bajase por las escaleras.

Condiciones Climatológicas

Señales de Radar

La influencia de las señales o rayos de radar sobre el funcionamiento de una

computadora ha sido exhaustivamente estudiado desde hace varios años.

Los resultados de las investigaciones más recientes son que las señales muy
fuertes de radar pueden inferir en el procesamiento electrónico de la información,
pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor.

Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del
centro de procesamiento respectivo y, en algún momento, estuviera apuntando
directamente hacia dicha ventana.

Instalaciones Eléctricas

Ergometría

Acciones Hostiles

Robo

Las computadoras son posesiones valiosas de las empresas y están expuestas,

de la misma forma que lo están las piezas de stock e incluso el dinero.

Es frecuente que los operadores utilicen la computadora de la empresa para

realizar trabajos privados o para otras organizaciones y, de esta manera, robar
tiempo de máquina.

La información importante o confidencial puede ser fácilmente copiada. Muchas

empresas invierten millones de dólares en programas y archivos de información, a
los que dan menor protección que la que otorgan a una máquina de escribir o una
calculadora.

5
El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son
fácilmente copiados sin dejar ningún rastro

FRAUDE

Cada año, millones de dólares son sustraídos de empresas y, en muchas

ocasiones, las computadoras han sido utilizadas como instrumento para dichos
fines.

Sin embargo, debido a que ninguna de las partes implicadas (compañía,

empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien
pierden en imagen, no se da ninguna publicidad a este tipo de situaciones.

SABOTAJE

El peligro más temido en los centros de procesamiento de datos, es el sabotaje.

Empresas que han intentado implementar programas de seguridad de alto nivel,
han encontrado que la protección contra el saboteador es uno de los retos más
duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.

Físicamente, los imanes son las herramientas a las que se recurre, ya que con
una ligera pasada la información desaparece, aunque las cintas estén
almacenadas en el interior de su funda de protección. Una habitación llena de
cintas puede ser destruida en pocos minutos y los centros de procesamiento de
datos pueden ser destruidos sin entrar en ellos.

Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los
conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas
pueden ser cortadas, etc.

CONTROL DE ACCESOS

El control de acceso no sólo requiere la capacidad de identificación, sino también

asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado
en restricciones de tiempo, área o sector dentro de una empresa o institución.

Utilización de Guardias

Utilización de Detectores de Metales

6
El detector de metales es un elemento sumamente práctico para la revisión de
personas, ofreciendo grandes ventajas sobre el sistema de palpación manual.

La sensibilidad del detector es regulable, permitiendo de esta manera establecer

un volumen metálico mínimo, a partir del cual se activará la alarma.

La utilización de este tipo de detectores debe hacerse conocer a todo el personal.

De este modo, actuará como elemento disuasivo. Utilización de Sistemas
Biométricos

Verificación Automática de Firmas (VAF)

En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque

también podría encuadrarse dentro de las verificaciones biométricas.

Mientras es posible para un falsificador producir una buena copia visual o facsímil,
es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la
firma genuina con exactitud.

La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o
de escribir.

La secuencia sonora de emisión acústica generada por el proceso de escribir

constituye un patrón que es único en cada individuo. El patrón contiene
información extensa sobre la manera en que la escritura es ejecutada.

El equipamiento de colección de firmas es inherentemente de bajo costo y

robusto.

Esencialmente, consta de un bloque de metal (o algún otro material con

propiedades acústicas similares) y una computadora barata.

4.2 SEGURIDAD LOGICA Y CONFIDENCIAL

7
SEGURIDAD LÓGICA Y CONFIDENCIAL

La seguridad lógica se encarga de los controles de acceso que están diseñados

para salvaguardar la integridad de la información almacenada de una
computadora, así como de controlar el mal uso de la información.

La seguridad lógica se encarga de controlar y salvaguardar la información

generada por los sistemas, por el software de desarrollo y por los programas en
aplicación.

Identifica individualmente a cada usuario y sus actividades en el sistema, y

restringe el acceso a datos, a los programas de uso general, de uso especifico, de
las redes y terminales.

La falta de seguridad lógica o su violación puede traer las siguientes

consecuencias a la organización:

Cambio de los datos antes o cuando se le da entrada a la computadora.

Copias de programas y /o información.

Código oculto en un programa

Entrada de virus

La seguridad lógica puede evitar una afectación de perdida de registros, y ayuda a

conocer el momento en que se produce un cambio o fraude en los sistemas.

Un método eficaz para proteger sistemas de computación es el software de control

de acceso. Los paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a
información confidencial. Sin embargo, los paquetes de control de acceso basados
en componentes pueden ser eludidos por delincuentes sofisticados en
computación, por lo que no es conveniente depender de esos paquetes por si
solos para tener una seguridad adecuada.

El sistema integral de seguridad debe comprender:

8
 Elementos administrativos.

Definición de una política de seguridad.

Organización y división de responsabilidades.

Seguridad lógica

Tipos de usuarios:

Propietario. Es el dueño de la información, el responsable de ésta, y puede

realizar cualquier función. Es responsable de la seguridad lógica, en cuanto puede
realizar cualquier acción y puede autorizar a otros usuarios de acuerdo con el nivel
que desee darles.

Administrador: Sólo puede actualizar o modificar el software con la debida

autorización, pero no puede modificar la información. Es responsable de la
seguridad lógica y de la integridad de los datos.

Usuario principal: Está autorizado por el propietario para hacer modificaciones,

cambios, lectura y utilización de los datos, pero no puede dar autorización para
que otros usuarios entren.

Usuario de explotación: Puede leer la información y utilizarla para explotación de

la misma, principalmente para hacer reportes de diferente índole.

Usuario de auditoría: Puede utilizar la información y rastrearla dentro del sistema

para fines de auditoría

Los usuarios pueden ser múltiples, y pueden ser el resultado de la combinación de

los antes señalados. Se recomienda que exista sólo un usuario propietario, y que
el administrador sea una persona designada por la gerencia de informática.

Para conservar la integridad, confidencialidad y disponibilidad de los

sistemas de información se debe tomar en cuenta lo siguiente:

La integridad es: La responsabilidad de los individuos autorizados para modificar

datos o programas o de los usuarios a los que se otorgan acceso a aplicaciones
de sistema o funciones fuera de sus responsabilidades normales de trabajo.

9
La confidencialidad: Es responsabilidad de los individuos autorizados para
consultar o para bajar archivos importantes para microcomputadoras.

La responsabilidad: Es responsabilidad de individuos autorizados para alterar los

parámetros de control de acceso al sistema operativo, al sistema operativo, al
sistema manejador de base de datos, al monitoreo de teleproceso o al software de
telecomunicaciones.

La seguridad lógica abarca las siguientes áreas:

Rutas de acceso.

Claves de acceso.

Software de control de acceso.

Encriptamiento.

Rutas de acceso

Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede
definirse como la trayectoria seguida en el momento de acceso al sistema.

Los tipos de restricciones de acceso son:

Sólo lectura

Sólo consulta

Lectura y consulta

Lectura escritura para crear, actualizar, borrar, ejecutar o copiar

El esquema de las rutas de acceso sirve para identificar todos los puntos de
control que pueden ser usados para proteger los datos en el sistema. El autor
debe conocer las rutas de acceso para el evaluación de los puntos de control
apropiados.

Claves de acceso

10
Un área importante en la seguridad lógica de las claves de acceso de los usuarios.
Existen diferentes métodos de identificación para el usuario:

Un password, código o llaves de acceso. Las claves de acceso pueden ser usadas
para controlar al acceso a la computadora, a sus recursos, así como definir nivel
de acceso o funciones específicas.

Las llaves de acceso deben tener las siguientes características:

El sistema debe verificar primero que el usuario tenga una llave de acceso
válida.

La llave de acceso debe ser de una longitud adecuada para ser un secreto.

La llave de acceso no debe ser desplegada cuando es tecleada.

Las llaves de acceso deben ser encintadas.

Las llaves de acceso deben de prohibir el uso de nombres, palabras o

caracteres difíciles de retener, además el password no debe ser cambiado
por un valor pasado. Se recomienda la combinación de caracteres
alfabéticos y numéricos.

Una credencial con banda magnética. La banda magnética de las credenciales es

frecuentemente usada para la entrada del sistema. Esta credencial es como una
bancaria, pero se recomienda que tenga fotografía y firma.

Algo especifico del usuario. Es un método para identificación del usuario, que es
implantado con tecnología biométrica (características propias).

Algunos de los dispositivos biométricos son:

Las huellas dactilares.

La retina

La geometría de la mano.

La firma.

La voz.

11
 4.3 SEGURIDAD PERSONAL

El hecho de poseer o poder manejar un ordenador hace que, aunque sea

mínimamente, dentro de él almacenemos datos.

Por muy insignificantes que a veces nos parezcan, estos datos hablan de
nosotros o bien de otras personas.

La seguridad personal sería el método por el que nos protegeríamos de

miradas indiscretas, o accesos no permitidos a nuestro ordenador o a los datos
que en ellos almacenamos.

Lo que a nosotros puede no parecernos importante, a otros sí puede

parecérselo.

Si queremos conscientemente estar seguros de tener nuestra información a

salvo, deberemos ser conscientes de lo que hacemos con ella, de dónde la
dejamos, cómo la guardamos y a quién y de qué manera se la ofrecemos.

Hay empresas que están llegando a pagar 500.000 Pts. por cada perfil de
usuario de Internet de un determinado tipo que le suministren.

4.4 CLASIFICACION CONTROLES DE SEGURIDAD

Los controles generales son aquellos que controlan el diseño, seguridad y uso
de los programas de cómputo. Esto incluye la seguridad de los archivos de datos
de toda la institución.

12
Los controles generales son para todas las aplicaciones computarizadas y
consisten en una combinación de software de sistemas y procedimientos
manuales. Estos controles aseguran la operación eficaz de los procedimientos
programados. Se usan en todas las áreas de aplicación.  

Estos controles incluyen lo siguiente:

Controles de Implementación: auditan el proceso de desarrollo de sistemas en

diversos puntos para asegurarse que esté adecuadamente controlado y
administrado.

Controles para el software: sirven para asegurar la seguridad y confiabilidad del

software.

Controles para el hardware: controles que aseguran la seguridad física y el

correcto funcionamiento del hardware de cómputo.

Controles de operaciones de cómputo: se aplican al trabajo del departamento

de cómputo para asegurar que los procedimientos programados sean consistentes
y correctamente aplicados al almacenamiento y procesamiento de los datos.

Controles de seguridad de los datos: aseguran que los archivos de datos en

disco o medios secundarios no se expongan  a accesos, cambios o destrucción no
autorizados.

Controles administrativos: son normas, reglas, procedimientos y disciplinas

formales para asegurar que los controles de la institución se ejecuten y se
respeten de manera adecuada.

4.5 SEGURIDAD DE DATOS Y SOFTWARE DE

APLICACIÓN

Controles internos sobre el análisis, desarrollo e implementación de

sistemas

13
 Las actividades que se realizan para el análisis, diseño, desarrollo e
implementación de sistemas de cualquier empresa son únicas y por lo
tanto, no tienen parecido alguno con otras actividades.

Por esta razón merecen un tratamiento más especializado.

Puntos básicos

Las consecuencias de un error (generalmente deben ser consideradas

para cada campo en la información de entrada).

Los puntos en el procesamiento de información en los cuales se puede

introducir un error en ésta.

Puntos básicos

Lo adecuado de los controles introducidos para prevención, detección y corrección

de errores de entrada

Tipos de controles.

Control de distribución.

Validación de datos.

Totales de control.

Control de secuencia.

Pruebas de consistencia y verosimilitud.

Dígito de control.

CONSIDERACIONES DE AUDITORÍA:

El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que

haya en los procedimientos para protección de registros y archivos y para su
restitución en caso de pérdida.

Aún cuando no ocurra una pérdida, un sistema débil pone en peligro los archivos.

14
 PLAN DE PRESERVACIÓN
DE LA INFORMACIÓN

DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo

de entrada deben ser retenidos intactos hasta el momento en que el archivo sea
comprobado.

ARCHIVO DE DISCOS: Una característica del archivo de discos es que el registro

anterior es destruido, no produce una copia automáticamente una copia en
duplicado.

VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel
de impresión.

OBJETIVOS DE LA AUDITORÍA DEL

SOFTWARE DE APLICACIÓN

VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES.

Para satisfacer:

La instalación del software

La operación y seguridad del software.

La administración del software

DETECTAR EL GRADO DE CONFIABILIDAD.

Grado de confianza, satisfacción y desempeño

Investigar si existen políticas con relación al software.

Detectar si existen controles de seguridad.

Verificar que sea software legalizado.

15
Actualización del software de aplicación.

EVALUACIÓN DEL SOFTWARE

El auditor debe evaluar qué software se encuentra instalado en la organización.

Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de

datos, etc.

También debe investigar las versiones de cada uno

ORGANIZACIÓN

El auditor debe de verificar que existan políticas para:

La evaluación del software.

Adquisición o instalación.

Soporte a usuarios.

Seguridad.

INSTALACIÓN Y LEGALIZACIÓN

Procedimientos para la instalación del software.

El auditor debe investigar si existen procedimientos que aseguren la oportuna

instalación del software.

Actividades durante la instalación.

Por ejemplo: revisión de contenido del paquete, fecha de instalación, número de

máquina, responsable de instalación, etc.

Justificación

16
En algunas ocasiones se adquiere software pero su compra no estaba planeada,
entonces se debe formular una justificación del porqué de esta adquisición.

Software legal

El auditor debe de investigar las políticas cuando se encuentra software instalado

en máquinas sin licencias de uso.

ENTRADA Y SALIDA
DEL SOFTWARE

Que el software que salga de la empresa sea:

Revisado (contenido, cantidad, destino).

Esté registrado formalmente en la empresa.

Justificada plenamente su salida.

Aprobado por el responsable del área de informática.

Que el software que salga de la empresa sea:

 Registrado en bitácora (quién y a qué hora lo sacó)

 Devuelto en las mismas condiciones.

 El personal está comprometido a no hacer mal uso del mismo.

Que el software que ingrese a la empresa sea:

Revisado (contenido, cantidad, procedencia).

17
  Aprobado por el responsable de informática.

 Registrado (quién y a qué hora lo introdujo)

Que el software que ingrese a la empresa sea:

 Devuelto en tiempo (comparar con fecha estipulada de devolución).

 Devuelto en las mismas condiciones.

 El personal está comprometido a no hacer mal uso del mismo.

4.6 CONTROLES PARA EVALUAR SOFTWARE DE

APLICACION

Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la

auditoría es la verificación de la observancia de las normas teóricamente
existentes en el departamento de Informática y su coherencia con las del resto de
la empresa. Para ello, habrán de revisarse sucesivamente y en este orden:

Las Normas Generales de la Instalación Informática. Se realizará una revisión

inicial sin estudiar a fondo las contradicciones que pudieran existir, pero
registrando las áreas que carezcan de normativa, y sobre todo verificando que
esta Normativa General Informática no está en contradicción con alguna Norma
General no informática de la empresa.

Los Procedimientos Generales Informáticos. Se verificará su existencia, al

menos en los sectores más importantes. Por ejemplo, la recepción definitiva de las
máquinas debería estar firmada por los responsables de Explotación.

18
Los Procedimientos Específicos Informáticos. Igualmente, se revisara su
existencia en las áreas fundamentales. Así, Explotación no debería explotar una
Aplicación sin haber exigido a Desarrollo la pertinente documentación. Del mismo
modo, deberá comprobarse que los Procedimientos Específicos no se opongan a
los Procedimientos Generales. En todos los casos anteriores, a su vez, deberá
verificarse que no existe contradicción alguna con la Normativa y los
Procedimientos Generales de la propia empresa, a los que la Informática debe
estar sometida.

OBJETIVOS DE LA AUDITORÍA DEL

SOFTWARE DE APLICACIÓN

VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES.

Para satisfacer:

La instalación del software

La operación y seguridad del software.

La administración del software

DETECTAR EL GRADO DE CONFIABILIDAD.

Grado de confianza, satisfacción y desempeño

Investigar si existen políticas con relación al software.

Detectar si existen controles de seguridad.

Verificar que sea software legalizado.

Actualización del software de aplicación.

19
 EVALUACIÓN DEL SOFTWARE

El auditor debe evaluar qué software se encuentra instalado en la organización.

Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de

datos, etc.

También debe investigar las versiones de cada uno.

ORGANIZACIÓN

El auditor debe de verificar que existan políticas para:

La evaluación del software.

Adquisición o instalación.

Soporte a usuarios.

Seguridad.

INSTALACIÓN Y LEGALIZACIÓN

Procedimientos para la instalación del software.

El auditor debe investigar si existen procedimientos que aseguren la oportuna

instalación del software.

Actividades durante la instalación.

Por ejemplo: revisión de contenido del paquete, fecha de instalación, número de

máquina, responsable de instalación, etc.

Justificación

En algunas ocasiones se adquiere software pero su compra no estaba planeada,

entonces se debe formular una justificación del porqué de esta adquisición.

Software legal

El auditor debe de investigar las políticas cuando se encuentra software instalado

en máquinas sin licencias de uso.
20
 4.7 CONTROLES PARA PREVENIR CRÍMENES Y
FRAUDES INFORMATICOS

FRAUDE: Fraude puede ser definido como engaño, acción contraria a la verdad o
a la rectitud. La definición de Delito puede ser más compleja.

El delito es un acto humano, es una acción (acción u omisión)

Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro

un interés jurídicamente protegido.

Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha

de ser un acto típico.

El acto ha de ser culpable, imputable a dolo (intención) o a culpa

(negligencia), y una acción es imputable cuando puede ponerse a cargo de
una determinada persona

La ejecución u omisión del acto debe estar sancionada por una pena.

FRAUDE A TRAVÉS DE COMPUTADORAS

Estas conductas consisten en la manipulación ilícita, a través de la creación
de datos falsos o la alteración de datos o procesos contenidos en sistemas
informáticos, realizada con el objeto de obtener ganancias indebidas.
Los distintos métodos para realizar estas conductas se deducen, fácilmente,
de la forma de trabajo de un sistema informático: en primer lugar, es posible
alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en
un ordenador. Esta forma de realización se conoce como manipulación del
input.

DETECCIÓN DE DELITOS

Puesto que la auditoria es una verificación de que las cosas se estén

realizando de la manera planificada, que todas las actividades se realicen
adecuadamente, que los controles sean cumplidos, etc.; entonces el auditor
informático al detectar irregularidades en el transcurso de la auditoria
informática que le indiquen la ocurrencia de un delito informático, deberá
realizar los siguiente:

21
 Determinar si se considera la situación un delito realmente;
Establecer pruebas claras y precisas;
Determinar los vacíos de la seguridad existentes y que permitieron el delito;
Informar a la autoridad correspondiente dentro de la organización;
Informar a autoridades regulatorias cuando es un requerimiento legal.

4.8 PLAN DE CONTINGENCIA SEGUROS

PROCEDIMIENTOS DE RECUPERACION DE
DESASTRES

¿Qué es un plan de contingencia?

Se puede definir un plan de contingencia como un conjunto de procedimientos que

permitan recuperar el estado normal de funcionamiento de los centros
informáticos.
El Plan de Contingencias implica un análisis de los posibles riesgos a los cuales
pueden estar expuestos el equipo informático y la información contenida en los
diversos medios de almacenamiento.
Pese a todas las medidas de seguridad a implementar, puede ocurrir un desastre,
por tanto es necesario que el Plan de Contingencias incluya un Plan de
Recuperación de Desastres, el cual tendrá como objetivo, restaurar el Servicio en
forma rápida, eficiente y con el menor costo y pérdidas posibles.

Haciendo un esquema, el Plan de Contingencias abarcará los siguientes

aspectos:

Plan de Reducción de Riesgos (Plan de Seguridad).

Plan de Recuperación de Desastres.
Actividades Previas al Desastre.
Establecimiento del Plan de Acción.
Actividades durante el Desastre.
Plan de Emergencias.
Actividades después del Desastre.
Evaluación de Daños.
Ejecución de Actividades
Evaluación de Resultados.
Retroalimentación del Plan de Acción.

Tipos de fallas a considerar en el Plan de Contingencia:

22
 Red eléctrica.
Red de datos.
Problemas con el servidor.
Estaciones y periféricos.
Servicio de Internet.

PLAN DE RECUPERACIÓN

Es importante definir los procedimientos y planes de acción para el caso de una

posible falla, siniestro o desastre en el Aula Informática
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo
que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo
posible el proceso perdido.
Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad
de los encargados de la realización de los mismos, debiendo haber procesos de
verificación de su cumplimiento. En estos procedimientos estará involucrado
específicamente el encargado del centro de cómputo.

Las actividades a realizar en un Plan de Recuperación se pueden clasificar

en tres etapas:

Actividades Previas a la falla o desastre.

Actividades Durante la falla o Desastre.
Actividades Después de la falla o Desastre.

Actividades Previas al Desastre

Son todas las actividades de planeamiento, preparación, entrenamiento y

ejecución de las actividades de resguardo de los activos del centro de computo,
que nos aseguren un proceso de Recuperación con el menor costo posible.

Establecimiento de Plan de Acción

Se debe de establecer los procedimientos relativos a:

a) Equipos de Cómputo.
b) Obtención y almacenamiento de los Respaldos de Información (BACKUPS).
c) Políticas (Normas y Procedimientos de Backups).

23
 4.9 TECNICAS HERRAMIENTAS RELACIONADAS
CON SEGURIDAD FISICA Y DEL PERSONAL

SEGURIDAD FÍSICA

Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de

los sistemas computacionales de la empresa, tales como el hardware, periféricos,
y equipos asociados, las instalaciones eléctricas, las instalaciones de
comunicación y de datos.

Igualmente todo lo relacionado con la seguridad y salvaguarda de las

construcciones, el mobiliario y equipo de oficina, así como la protección a los
accesos al centro de sistematización.
En sí, es todo lo relacionado con la seguridad, la prevención de riesgos y
protección de los recursos físicos informáticos de la empresa.

Igualmente todo lo relacionado con la seguridad y salvaguarda de las

construcciones, el mobiliario y equipo de oficina, así como la protección a los
accesos al centro de sistematización.
En sí, es todo lo relacionado con la seguridad, la prevención de riesgos y
protección de los recursos físicos informáticos de la empresa.

Verificar que existan los planes políticas y procedimientos relativos a la seguridad

dentro de la organización.

Confirmar que exista un análisis costo-beneficio de los controles y

procedimientos antes de ser implantados.

SEGURIDAD EN EL PERSONAL

El objetivo prinicipal de la auditoría de la seguridad del personal es evitar,

hasta donde humanamente sea posible, los accidentes acaecidos en
el trabajo que constituyen los riesgos de trabajo.

Controles necesarios para la seguridad física del área

Controles administrativos del personal de informática.

Seguros y fianzas para el personal de sistemas.
Planes y programas de capacitación.
Planes de contingencia definidos para el personal que labora en el área.

24
Planes de contingencia

Es el control de las contingencias y riesgos que se pueden presentar en el

área de sistemas.
Estas contingencias se pueden evitar a través de planes y programas
preventivos específicos, en los que se detallan las actividades antes,
durante y después de alguna contingencia.

En estos planes se incluyen los simulacros de contingencias, los reportes

de actuaciones y las bitácoras de seguimiento de las actividades y eventos
que se presenten en el área de sistemas.

4.10 TACNICAS Y HERRAMIENTAS RELACIONADAS CON

SEGURIDAD DE DATOS Y SOFTWARE DE APLICACION

1.- Controles internos sobre el análisis, desarrollo e implementación de

sistemas

Las actividades que se realizan para el análisis, diseño, desarrollo e

implementación de sistemas de cualquier empresa son únicas y por lo tanto, no
tienen parecido alguno con otras actividades, por esta razón merecen un
tratamiento más especializado.
El auditor debe investigar puntos tales como:
1.- ¿Qué ocurre a la información de entrada en que se encuentran los errores?
2.- ¿Qué sucede con una operación no correspondida?
3.- ¿Qué sucede si los totales de control no coinciden?
6.-Tipos de controles.

Tipos de controles.

Control de distribución: La información de salida debe ser controlada en

el sentido de que debe ser distribuida a aquellas personas que necesitan
los datos y no debe ser enviada a aquellos que no están autorizados para
recibirla.
Validación de datos: Es necesario tener confianza en los datos a ser
procesados, por eso mismo son sometidos a una serie de pruebas para
detectar los posibles errores que puedan traer. Estas pruebas actúan como
filtros de la información.

25
Totales de control: Un sistema de validación consiste en sumar por medio
de la computadora el contenido de un determinado campo de cada uno de
los artículos de un archivo.

Control de secuencia: En datos como las facturas que están foliadas, la

computadora puede ejercer un control de secuencia sobre este número de
folio, con lo cual se detectará si se omitieron o duplicaron registros.

Pruebas de consistencia y verosimilitud: Una prueba típica de

consistencia es ver si un campo de un registro al que hemos definido como
numérico, efectivamente soporta información numérica.

Dígito de control: Dado que la clave de identificación de los artículos de un

registro, permite individualizar cada uno de los artículos. Es necesario
asegurarse de que el contenido de la clave esté correcto.

26
 Unidad 5 Auditoria de la seguridad en
la teleinformá tica

5.1 Generalidades Seguridad Área Teleinformática

En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se
denomina teleinformática: la unión de la informática y las telecomunicaciones.
Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso
de expresiones y conceptos relacionados con la teleinformática.

Se comienza por introducir la historia y evolución de la teleinformática y de la

manera en que fue desarrollándose, y a su vez, proporcionando un panorama
general del tema. Luego se menciona de forma genérica los elementos que
integran un sistema teleinformática, desde un simple terminal hasta una red.

Las técnicas de comunicación se estructuran en niveles: físico, enlace de datos,

red, transporte, sesión, presentación y aplicación.

También, mencionamos las redes de área local ya que son muy importantes en lo
que a la teleinformática respecta. Se hizo hincapié en la red Internet y su protocolo
TCP/IP, y en los conceptos básicos sobre Programas de Comunicación y Gestión
de Red.

27
Analizamos los servicios de valor añadido como el Videotex, Ibercom o La
Telefonía Móvil. Además, establecimos los últimos desarrollos y las tendencias de
la teleinformática, desde las redes digitales hasta el proceso distribuido.

Por último, manifestamos la importancia de la relación que existe entre la

teleinformática y la sociedad, en lo que respecta a la educación, la sanidad y la
empresa.
En una comunicación se transmite información desde una persona a otra e
intervienen tres elementos: el emisor, que da origen a la información, el medio,
que permite la transmisión, y el receptor, que recibe la información.

La primera comunicación que existió entre los hombres fue a base de signos o
gestos que expresaban intuitivamente determinadas manifestaciones con sentido
propio. Estos gestos iban acompañados de sonidos.

Más tarde, el hombre tuvo necesidad de realizar comunicaciones a distancia como

por ejemplo, entre personas de dos aldeas situadas a cierta distancia pero con
visibilidad entre ambas, o bien entre un barco y la costa. Es aquí donde aparecen
las señales de humo, destellos con espejos entre innumerables métodos de
comunicación.
Con el paso del tiempo y la evolución tecnológica, la comunicación a distancia
comenzó a ser cada vez más importante.

La primera técnica utilizada surgió con la aparición del telégrafo y el código morse
que permitieron comunicaciones a través de cables a unas distancias
considerables. Posteriormente se desarrolló la técnica que dio origen al teléfono
para la comunicación directa de la voz a larga distancia. Más tarde la radio y la
transmisión de imágenes a través de la televisión habilitaron un gran número de
técnicas y métodos que luego fueron muy importantes a lo que respecta a la
comunicación.

5.2 OBJETIVOS CRITERIOS DE AUDITORIA

AREA TELEINFORMÁTICA

28
La auditoría interna se ve compelida a velar entre otras cosas por la aplicación y
buen uso de las mismas. Ello ciertamente implica un muy fuerte compromiso.
Dijimos antes que la auditoría debía velar no sólo por los activos de la empresa
sino además por su capacidad competitiva. Cuidar de esto último significa difundir,
apoyar y controlar las nuevas y buenas prácticas. Así, haciendo uso del
benchmarking puede verificar y promover las mejores prácticas para el
mantenimiento de la más alta competitividad. Ser competitivo es continuar en la
lucha por la subsistencia o continuidad de la empresa.

5.3 SÍNTOMAS DE RIESGO TELEINFORMÁTICA

Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto
de que en algunas entidades se creó inicialmente la función de auditoría
informática para revisar la seguridad, aunque después se hayan ido ampliando los
objetivos.

En la auditoría de otras áreas pueden también surgir revisiones solapadas con la

seguridad; así a la hora de revisar el desarrollo se verá si se realiza en un entorno
seguro, etc.
• Los controles directivos. Son los fundamentos de la seguridad: políticas, planes,
funciones, objetivos de control, presupuesto, así como si existen sistemas y
métodos de evaluación periódica de riesgos.

• El desarrollo de las políticas. Procedimientos, posibles estándares, normas y

guías.
• Amenazas físicas externas. Inundaciones, incendios, explosiones, corte de líneas
o suministros, terremotos, terrorismo, huelgas, etc., se considera: la ubicación del
centro de procesos, de los servidores, PCs, computadoras portátiles (incluso fuera
de las oficinas); estructura, diseño, construcción y distribución de edificios;
amenazas de fuego, riesgos por agua, por accidentes atmosféricos; contenido en
paquetes }, bolsos o carteras que se introducen o salen de los edificios; visitas,
clientes, proveedores, contratados; protección de los soportes magnéticos en
cuanto a acceso, almacenamiento y transporte.
• Control de accesos adecuado. Tanto físicos como lógicos, que se realicen sólo

29
las operaciones permitidas al usuario: lectura, variación, ejecución, borrado y
copia, y quedando las pistas necesarias para el control y la auditoría. Uso de
contraseñas, cifrado de las mismas, situaciones de bloqueo.
• Protección de datos. Origen del dato, proceso, salida de los datos.
• Comunicaciones y redes. Topología y tipo de comunicaciones, posible uso de
cifrado, protecciones ante virus. Tipos de transacciones. Protección de
conversaciones de voz en caso necesario, protección de transmisiones por fax
para contenidos clasificados. Internet e Intranet, correo electrónico, control sobre
páginas web, así como el comercio electrónico.
• El entorno de producción. Cumplimiento de contratos, outsourcing.
• El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles
en los productos desarrollados y que éstos resulten auditables. Con el uso de
licencias (de los programas utilizados).
• La continuidad de las operaciones. Planes de contingencia o de Continuidad.
No se trata de áreas no relacionadas, sino que casi todas tienen puntos de enlace
comunes: comunicaciones con control de accesos, cifrado con comunicaciones,
etc.

Evaluación de riesgos

Se trata de identificar riesgos, cuantificar su probabilidad e impacto y analizar

medidas que los eliminen o que disminuyan la probabilidad de que ocurran los
hechos o mitiguen el impacto. Para evaluarlos hay que considerar el tipo de
información almacenada, procesada y transmitida, la criticidad de las operaciones,
la tecnología usada, el marco legal aplicable, el sector de la entidad, la entidad
misma y el momento. Los riesgos pueden disminuirse (generalmente no pueden
eliminarse), transferirse o asumirse.

5.4 TECNICAS Y HERRAMIENTAS AUDITORIA

RELACIONADAS CON SEGURIDAD
TELEINFORMÁTICA

30
Introducción General a la Seguridad en Redes

• Definiciones
• Generalidades
• Intrusos
• Amenazas
• Ataques

Planeacion de la Seguridad

• Análisis del sistema actual

• Análisis de riesgos
• Definición de políticas de seguridad
• Implantación de la seguridad

Servicios de Seguridad o Modelo OSI para arquitecturas de Seguridad

Modelo TCP/IP

BIBLIOGRAFIA

http://www.mailxmail.com/curso-administracion-centro-computo/metodos-tipos-control

http://www.google.com.mx/search?
q=Seguridad+de+Datos+y+Software+de+Aplicacion+&hl=es&source=hp&aq=f&aqi=&aq
l=&oq=

http://www.buenastareas.com/temas/controles-para-evaluar-software-de-aplicaci
%C3%B3n/40

http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml

31