Agradecimientos A mis padres; Virginia Morales Morales y Roberto Pérez Hernández, por su amor, paciencia infinita y comprensión.
|
|
- Elena Luna Quintana
- hace 8 años
- Vistas:
Transcripción
1 Agradecimientos A mis padres; Virginia Morales Morales y Roberto Pérez Hernández, por su amor, paciencia infinita y comprensión. A mi tí a, Celia Pérez Hernández y a mis hermanos; Hugo, Marí a Guadalupe, Ví ctor Manuel, Carlos Marcelo, Miguel Ángel y Felipe Pascual, por su apoyo constante e incondicional. A mi asesor de tesis M. en C. Rafael Ibáñez Castañeda y a mis sinodales M. en C. Emilia Abad Ruiz, M. en C. Carlos González Escamilla, M. en C. Abel Bueno Meza, M. en C. Guillermo Pérez Vázquez, por su orientación, comentarios y paciencia los cuales me permitieron llegar al final de este proyecto. A todos y cada uno de mis profesores por sus valiosas enseñanzas y a mi fuente de conocimiento Universitario. A mis amigos, ya que sus enseñanzas me sirven para reflexionar hasta en la más compleja de mis acciones y a todas aquellas personas que están cerca de mi y que impulsan a seguir por la senda profesional. Í NDICE Pág. Introducción CAPÍ TULO 1 Teorí a sobre la Auditorí a a las Tecnologí as de Información y Procesos de Negocio 1.1 Estructura de las Tecnologí as de Información y Procesos de Negocio 1.2 Planeación estratégica, táctica y operacional Definiciones de polí ticas, estándares, normas, procedimientos y estrategias 1.3 Control Interno Definiciones, objetivos y prácticas y procedimientos de control Categorí as del control Controles generales Controles de aplicación Caracterí sticas y requerimientos del control Clasificación del control Controles por su acción u objetivo Análisis de costo beneficio en la implantación de controles Controles compensatorios e interrelaciones entre controles Uso de controles 1.4 Riesgos y exposiciones Definiciones de riesgo y exposiciones Evaluación de riesgo Tipos de evaluación de riesgo Categorización global de riesgo Tipos de riesgos Riesgos de negocio Riesgos de control Riesgos de auditorí a Riesgos de información Riesgos de integridad...
2 Asociación de Auditorí a y Control de Sistemas de Información (The Information Systems Audit and Control Association - ISACA) y el Programa de Certificación 1.6 Código de Ética 1.7 Estándares de auditorí a de sistemas de información 1.8 Organismos que emiten estándares de auditorí a a las TI y PN 1.9 Objetivos de control de Información relacionados a la Tecnologí a Control Objectives for Information and Related Technology (COBIT) CAPÍ TULO 2 Fundamentos de Seguridad Lógica para minimizar los riesgos en las Organizaciones 2.1 Definiciones de Seguridad Lógica y Auditorí a a la Seguridad Lógica 2.2 Amenazas humanas y métodos más comunes a que están expuestos los recursos computacionales Clasificación de personas que pueden atacar los recursos computacionales Métodos más usados tanto por personal interno como externo para atacar los recursos computacionales
3 2.3 Propuesta de arquitectura de seguridad lógica para que las organizaciones puedan minimizar sus riesgos Análisis de impacto del negocio Polí ticas y estrategias de seguridad general Infraestructura técnica Técnicas para el control de accesos lógicos y fí sicos Paquetes de software de seguridad para el control de acceso Importancia de contar con seguridad en los sistemas operativos sistemas operativos Importancia de contar con seguridad en los sistemas operativos abiertos Soluciones para implementar niveles de seguridad en accesos lógicos Otros controles de acceso lógico 2.4 Conceptos básicos para implementar un esquema de seguridad en la red/web Técnicas criptográficas básicas Tipos de criptografí a Usos de la criptografí a Protocolos de seguridad para redes Seguridad que puede ser implementada en la red Firewall Kerberos Steganography 2.5 Otros aspectos importantes a tomar en cuenta relacionados con la seguridad CAPÍ TULO 3 Historias de accesos ilegales sobresalientes que han afectado la Seguridad Lógica 3.1 Antecedentes 3.2 Hackers y prackers famosos 3.3 Historia de páginas web modificadas en el ámbito internacional
4 3.3.1 ValuJet Airlines Yahoo Amazon e-bay Buy.com ZDnet Sabotaje de un empleado Asalto a la Moncloa Espectacular ataque a New York Times El CSIC dice no a la guerra El Columbia en llamas por un dí a Un autentico animal en la web de Greenpeace Apple e Intel se fusionan, según Macworld 3.4 Historia de páginas Web modificadas en el ámbito nacional Archivo Nacional de la Nación Centro de Computación Profesional de México CAPÍ TULO 4 Metodologí a de la Auditorí a a las Tecnologí as de Información y Procesos de Negocio 4.1 Definición de auditorí a, tipos y clases Tipos de auditorí a: Interna y Externa Personas que realizan la auditorí a: Auditorí a Interna y
5 Externa Clases de auditorí as: Operacional, Financiera, Integral y de Tecnologí as de Información y Procesos de Negocio 4.2 Metodologí a de Auditorí a a las Tecnologí as de Información y Procesos de Negocio Etapa de planeación interna con el equipo de trabajo Planeación con la organización que va a auditar, trabajo de campo, preparación y presentación del informe o reporte Planeación con la organización que se va a auditar Etapa de trabajo de campo Etapa de preparación y presentación del informe o reporte 4.3 Tipos de evidencia cuando se realiza una auditorí a Evidencia de auditorí a en un ambiente automatizado Fuentes para obtener evidencia Papeles de trabajo Porque usar muestreo estadí stico Tipos de muestreo Muestreo estadí stico Muestreo no-estadí stico 4.4 Técnicas de auditorí a asistidas por computadora CAPÍ TULO Elaboración y aplicación de un Programa de Trabajo para realizar una Auditorí a a al Seguridad Lógica
6 del Sistema Operativo AIX versión Comprensión general del negocio 5.2 Elaboración del Programa de Auditorí a Selección y Aplicación del Programa de Auditorí a 5.3 La razón del porque se auditó el sistema operativo AIX versión Alcance del programa 5.5 Objetivo 5.6 Ataques a los cuales se enfocó más el programa 5.7 Programa general para Auditar el Sistema Operativo AIX versión Programa detallado para auditar el Sistema Operativo AIX versión Resultado de la Auditorí a Reporte Ejecutivo Reporte Técnico CONCLUSIONES BIBLIOGRAFÍ A Glosario administrador de seguridad (security administrator) - Persona responsable de la implantación, monitoreo y seguimiento de las reglas de seguridad establecidas y autorizadas por la alta administración. amenaza (threat) - Una situación que podrí a dar lugar a que los medios de procesamiento de información o los datos, intencional o accidentalmente sufran pérdida, modificación, se vean expuestos a riesgos, queden inaccesibles, o se vean afectados de cualquier otra manera en forma perjudicial para la organización. Asociación de Auditorí a y Control de Sistemas de Información (The Information Systems Audit and Control Association - ISACA) - Es una Asociación de Auditorí a y Control de Sistemas de Información su sede esta en Chigago, Estados Unidos. La asociación es un lí der reconocido en el ámbito mundial en aspectos de Auditorí a y Control en Tecnologí a de Información. ataques así ncronos (asincronos attacks) - Son ataques indirectos contra programas, éstos alteran datos legí timos o códigos en el momento en que los programas están ociosos.
7 auditor (auditor) - Persona especializada que puede trabajar dentro o afuera de la organización a quien se le ha asignado la responsabilidad de desempeñar funciones propias de Auditorí a en Informática. auditorí a (audit) - Proviene del latí n auditorius que se refiere a todo aquel que tiene la virtud de oí r. Actividad consistente en emitir una opinión profesional sustentada en procedimientos, sobre si lo sometido a análisis (situación, actuación, manifestación, documentación, informe) refleja la realidad y cumple con las condiciones que le han sido preestablecidas. auditorí a a las tecnologí as de información y procesos de negocio (business processes and information technology auditing) - Es el proceso de evaluar y reportar que existan controles óptimos para asegurar que los activos relacionados a las Tecnologí as de Información (hardware, redes y telecomunicaciones y plataformas de software) y a los Procesos de Negocio (base de datos, sistemas en operación y sistemas de negocio) estén salvaguardados, que la integridad de datos esté protegida, que los sistemas cumplen con polí ticas, procedimientos, estándares, reglas, leyes y regulaciones. auditorí a externa (external auditing) - Es un examen formal e independiente de los estados financieros, sus registros, transacciones y operaciones, realizado por contadores profesionales para dar credibilidad a los estados financieros y otros informes de la gerencia, así como el asegurar un adecuado registro de las cuentas contables o identificar puntos débiles en los controles y sistemas internos. auditorí a financiera (financial audits) - Verificación de los estados contables, llevada a cabo por profesionales competentes; la verificación se hace mediante la aplicación de procedimientos y principios contables generalmente aceptados. auditorí a interna (internal auditing) - Actividad independiente para verificar, mediante el examen y evaluación de evidencia objetiva, si los procesos y elementos aplicables del sistema administrativo han sido desarrollados, documentados, implementados y mantenidos efectivamente. auditorí a operacional (operational audits) - Puede definirse como el examen o evaluación profesional de todas o una parte de las operaciones o actividades de cualquier entidad, para determinar su grado de eficacia y eficiencia y formular recomendaciones gerenciales para mejorar. autenticación (authentication) - Proceso de determinar si una persona o una empresa está autorizada para llevar a cabo una acción dada. Algunos sistemas de autenticación incluyen tanto identificación como autorización, mientras que otros solamente incluyen uno u otro. biometrí a (biometric) - Técnica de seguridad la cual verifica la identidad de un individuo por medio de atributos fí sicos únicos, tales como, el reconocimiento de voz, la palma de la mano y el iris del ojo, entre otros. bomba lógica (logical bomb) - Programa de computadora que se activa bajo ciertas condiciones especí ficas de acuerdo a los requerimientos establecidos por los programadores. Las condiciones que la activan pueden ser una combinación de fecha y hora. Cuando se activa hace luego copias de sí misma "explotando" hasta que bloquee todo el sistema. caballo de troya (trojan horse) - Es un programa que puede realizar una función útil, pero también puede realizar una acción inesperada es una forma de virus, es decir es un programa malévolo que se esconde dentro de un programa amistoso o simula la identidad de un programa con caracterí sticas legí timos mientras que realmente causa daño en los sistemas. Este método puede ser particularmente difí cil de detectar puesto que aparentan ser programas legí timos y útiles pero en realidad no lo son. contraseña (password) - Cadena de caracteres que sirven para autenticación del usuario.
8 controles preventivos (preventive controls) - Diseñados para prevenir o restringir un error, omisión o instrucción no autorizada. control (control) - Medidas que se toman para garantizar la integridad y la calidad de un proceso. Consiste en verificar si todo ocurre de conformidad con el plan adoptado, con las instrucciones emitidas y principios establecidos. Tiene como fin señalar las debilidades y errores a fin de rectificarlos e impedir que se produzcan nuevamente. control de acceso (access control) - Procesos que limitan y controlan los accesos a los recursos computacionales. control de acceso fí sico (physical access control) - Interpone barreras fí sicas entre las personas no autorizadas y el medio de información que protegen. control de acceso lógico (logical access control) - Emplea medios no fí sicos, tales como; contraseñas, con el fin de proteger los recursos computacionales. control dual (dual control) - Método destinado a preservar la integridad de un proceso. Requiere que dos personas independientemente realicen algunas funciones antes de completar determinadas transacciones. Siempre que se requiera control dual, ambas personas deben tener sumo cuidado de actuar en forma independiente una de la otra. controles preventivos ( preventive controls) - Diseñados para prevenir o restringir un error, omisión o intrusión no autorizada. Son diseñados para que antes o durante el ingreso a cualquier medio computarizado sean rechazados. controles detectives (detective controls) - Han sido diseñados previamente y estos detectan o reportan cuando existen errores, omisiones de usuarios no autorizados. cortafuegos (firewalls) ) - Dispositivo que monitoriza las conexiones de la red a fin de evitar que intrusos desde el exterior puedan entrar a los servidores. cracker (cracker) - Persona que se dedica a entrar a las redes de forma no autorizada o ilegal, para conseguir información o romper las conexiones de las redes con fines destructivos. criptografí a (cryptography) - Proceso matemático que se utiliza para transformar información de un texto legible (texto claro) a un texto ilegible (texto cifrado). destrucción de la información (destruction of information) - Método que reduce la información a un estado en el cual no se pueda utilizar. dictamen de auditorí a (opinion of audit.) - Opinión o juicio que se forma y emite sobre algo, especialmente el trabajo lo realiza un especialista. divulgación de información (disclosure of information) - Cualquier situación en la cual se trasfiere, comunica o se permite acceso a otra persona o entidad a información. e-comercio (e-commerce) - Sistema de compra/venta de bienes y servicios a través de la Red (Web). e-móvil (e-movil) - Sistema de compra/venta de bienes y servicios a través de teléfonos o agendas electrónicas (PALM). encripción o encriptación (encryption) - Proceso de convertir información a forma no legible. El uso de la encripción o encriptación protege la información contra la divulgación no autorizada entre el proceso de cifrado y descifrado. exposición (exposure) - Condición no deseable. firma digital (digital signature) - Equivalente práctico a una firma fí sica en un documento. Un medio digital que posea una firma digital es considerado como legal. ingenierí a social (social engineering) - Se refiere a la capacidad que tiene una persona de utilizar otra personalidad. La persona adquiere conocimientos y habilidades sociales para robar información relacionada a los sistemas computacionales. gusano (worm) - Programa independiente que se duplica por si mismo trasmitiéndose de un equipo
9 a otro a través de las conexiones de red. hacker (hacker) - Individuos quienes obtienen maliciosamente accesos no autorizados a los recursos computacionales. identificación de usuario (user identification) - Cadena de caracteres que se utiliza para identificar en forma única e individual a cada usuario que ingresa a los recursos computacionales. información (information) - Acción y resultado de informar o informarse, así como tambien es un conjunto de datos sobre una materia determinada. integridad (integrity) - Totalidad, plenitud o rectitud. internet (internet) - Red global que conecta miles de millones de computadoras con direcciones únicas, con la finalidad del intercambio de información. impersonalización (impersonalization) - Proceso donde una persona asume la identidad de otra. muestreo de atributos (attribute sampling) - Técnica de muestreo usada en auditorí a, esta técnica permite seleccionar datos de una población. El propósito de prueba se basa en una selección para que todos los datos tengan ciertos atributos o caracterí sticas de ser seleccionados. muestreo de variables (variable sampling) - Técnica de muestro usado para estimar la media o el valor total de la población basada en la muestra. muestreo estadí stico (statistical sampling) - Método para seleccionar una muestra de una población, se basa en cálculos matemáticos y probabilidades, con el propósito de dar validez matemática y cientí fica a la muestra de una población entera. necesidad de información (need-to-know) - Concepto de seguridad, que limita el acceso a la información y a los medios de procesamiento de datos. Es la información básica requerida para que la persona pueda realizar sus funciones. negación de servicio (denial of service) - Acciones que impiden que un sistema o red funcione correctamente. La negación de servicio se produce cuando un sistema o el servidor es saturado con solicitudes no legitimas, haciendo imposible responder a solicitudes o tareas reales. no asegurado o no protegido (unsecured) - Situación en que las personas no autorizadas o desconocidas pueden obtener acceso a los sistemas o a datos. objetivo de control (control objective) - Son usados como marco de referencia para el desarrollo e implementación de controles. Objetivos de Control de Información Relacionados a la Tecnologí a (Control Objectives for Information and Related Technology - COBIT) - Han sido desarrollados como estándares generalmente aplicables y aceptados para mejorar las prácticas de control y seguridad de las Tecnologí as de Información (TI) que provean un marco de referencia para la administración, usuarios y auditores. norma (norm) - Documento establecido por consenso y aprobado por un organismo reconocido, que suministra para uso común y repetido, reglas, lineamientos o caracterí sticas y se toma como base para la realización de actividades. password cracking (password cracking) - Técnica usada para ganar sorpresivamente acceso a los sistemas usando cuentas del usuario no legitimas. perí metro de control (control perimeter) - Lí mites que definen el alcance de una autoridad de control. pista de auditorí a (audit trail ) - Evidencia que se inserta dentro de los programas originales y se les pide ciertos criterios de selección (controles riesgosos), para que sean incluidos en reportes ya sea impresos o por pantalla. Los reportes se utilizan para determinar si ha ocurrido algún uso no autorizado o algún intento de utilizar los recursos computarizados de forma no autorizada. piggybacking (piggybacking) - Método para ingresar a áreas de acceso controladas; puede ocurrir en un sistema en lí nea donde se están utilizando terminales y la identificación es verificada
10 automáticamente por el sistema, cuando se ha activado una terminal la computadora autoriza el acceso, generalmente con base a una identificación del usuario y un passwords. programa de auditorí a (audit program) - Conjunto de instrucciones y procedimientos paso a paso que deben ser ejecutados para completar una auditorí a. pruebas de cumplimiento (compliance testing) - Su objetivo es determinar si los controles internos han sido cumplidos de acuerdo a lo que ha establecido la administración; éstas pruebas son usadas para determinar si los controles internos existen y si están trabajando efectiva y eficientemente. pruebas sustantivas (sustantive testing) - Su objetivo es verificar a nivel de registros los controles internos. La pruebas sustantivas deben ser limitadas cuando el resultado de la evaluación de riesgos es bajo e incrementadas cuando el nivel de riesgo es alto. red (network) - Conjunto de computadoras conectados entre sí con el fin de compartir datos, información y recursos computacionales. revelación (disclosure) - Ataque que se lleva a cabo cuando un individuo logra acceder a información para la cual no se le ha otorgado acceso explí cito. riesgo (risk) - Probabilidad de que un evento desfavorable ocurra y pueda llevar a pérdidas financieras, mala imagen para clientes, accionistas, instituciones bancarias o proveedores. riesgo de auditorí a (audit risk) - Probabilidad de sufrir una pérdida debido a la incidencia de una o más amenazas que pueden afectar la información. riesgo de control (control risk) - Probabilidad que la información y los reportes contengan errores materiales y que aplicando las pruebas de cumplimiento no se hayan detectado. riesgo de detección (detection risk) - Probabilidad de que las pruebas que fueron realizadas por el auditor de Sistemas de Información, no detecten un error que pudiera materializarse ya sea individualmente o en combinación con otros errores. riesgo del negocio (business risk) - Probabilidad de impactar a los negocios o servicios y que no puede ser controlado ya que lo determina el medio ambiente, puede ser riegos financieros, contables, de impuestos o de control. servidor (server) - Una computadora que actúa en calidad de proveedor de algún servicio a otras computadoras, por ejemplo, procesamiento de comunicaciones, interfaz con los medios de almacenamiento de archivos o medios de impresión. sistema operativo (operating system) - Programa de control maestro que puede administrar los trabajos de la computadora. sistemas de contraseñas dinámicas (dynamic password systems) - Sistema que verifica la identidad de una persona utilizando dispositivos que generan nuevas contraseñas en cada sesión. Estos sistemas autentican a la persona utilizando algo que la persona tiene o algo que la persona sabe, por ejemplo, certificados digitales, tarjetas fí sicas o indicadores biométricos. smurfing (smurfing) - Ataque de negación de servicio por el cual un programa automatizado ataca una red y aprovecha una dirección difundida por el protocolo de Internet (IP). sniffer (sniffer) - Programa que captura paquetes de datos que pasan por un servidor como bitácoras y contraseñas. Se usan herramientas de monitoreo de red que capturan paquetes de datos y decodifican éstos usando protocolos comunes. software de auditorí a generalizado (generalized audit software) - Sistema con propósitos múltiples, este sistema puede ser usado para seleccionar registros, hacer recálculos, sumarizaciones y reportes, entre otros. software antivirus (anti-virus software) - Herramienta que examina un sistema o una red en busca de virus y elimina los que encuentre. La mayorí a del software de antivirus tiene caracterí sticas que permiten descargar perfiles de nuevos virus para que pueden buscar nuevos virus tan pronto como se descubran. software de seguridad (security software) - Se usa para administrar la seguridad lógica, usualmente
11 incluye autentificación de usuarios, accesos acorde a las reglas predefinidas, monitoreo y funciones de reportes. spoofing (spoofing) - Lograr la conexión a un servidor de cualquier manera y dañar los recursos computacionales. Una técnica usada para reducir el servicio de la red especialmente en redes de área amplia. spyware (spyware) - Imitación de la dirección del remitente o incluso hacerse pasar por un usuario autorizado en un intento por obtener la entrada ilegal a un sistema seguro. steganography (steganography) - Práctica de ocultar información dentro de otra información. superzapping (superzapping) - Uso no autorizado de programas utilitarios para modificar, destruir, copiar, divulgar, insertar, utilizar o negar datos. Es un programa utilitario poderoso que puede violar los controles de seguridad. tarjeta inteligente (smart card) - Tiene integrado un chip, permite autentificar al usuario, se pueden realizar transacciones y actualizar información. técnicas de auditorí a asistidas por computadora (computer assisted audit technique -CAAT) - Generadores de pruebas de datos, programas de auditorí a computarizado y utilitarios de auditoria especializado para verificar los datos. técnica del salami (salami technique) - Robar pequeñas cantidades de dinero y ser depositados a la cuenta del perpetrador. trap door (trap door) - Permite a un usuario tener acceso a sistemas que estén funcionando y que éstos le han sido autorizados. Estos privilegios de acceso se pueden obtener con una condición del teclado fácilmente. The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO)- The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO). Publicado en 1992 hace recomendaciones a los contables de gestión de cómo evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información, comunicación y monitoreo. verificar (to verify) - Comprobar la verdad o autenticidad de algo. virus (virus) - Programa que puede "infectar" o "contaminar" otros programas al modificarlos para incluir una copia de si mismo. El código viral es tí picamente malicioso y perjudicial para la integridad de la información o del sistema. vulnerabilidades (vulnerabilities) - Debilidades en los recursos computacionales que son explotados en caminos diferentes y pueden llegar a afectar la polí tica de seguridad. web defacing (web defacing) - Forma popular de ataque de los hackers, en donde el hacker entra ilegalmente en los web site de las organizaciones y cambia los contenidos de las páginas. wiretapping (wiretapping) - Escuchar o interceptar una conversación ví a telefónica durante la transmisión de mensajes o información. Relación de cuadros, gráficas e ilustraciones Pág.. Lista de cuadros Cuadro 1.1 Categorización global del riesgo Cuadro 1.2 Estándares de auditorí a de sistemas de información Cuadro 2.1 Esquema para ingresar a los recursos computacionales Cuadro 2.2 Maneras más comunes de cómo las contraseñas pueden ser divulgadas Cuadro 4.1 Muestreo estadí stico y no-estadí stico
12 Cuadro 4.2 Definiciones del muestreo estadí stico Cuadro 4.3 Ejemplos del uso de técnicas asistidas por computadora Lista de gráficas Gráfica 1.1 División de tecnologí a computacional Gráfica 1.2 Procesos clave relacionados al marco de trabajo Gráfica 1.3 Clasificación de control Gráfica 1.4 Clasificación de riesgos de integridad Gráfica 2.1 Personas internas o externas que pueden dañar los recursos computacionales Gráfica 2.2 Métodos más usados tanto por personal interno como externo para atacar los recursos computacionales Gráfica 2.3 Propuesta de Arquitectura de Seguridad Lógica Gráfica 2.4 Propuesta de Arquitectura de Seguridad Lógica Técnica Gráfica 2.5 Medios básicos y cruciales para proteger la seguridad de los recursos informáticos Gráfica 2.6 Tipos de llaves criptográficas Gráfica 4.1 Preguntas clave de auditorí a Gráfica 4.2 Como se debe planear una auditorí a Gráfica 4.3 Como se debe llevar a cabo una auditorí a Gráfica 4.4 Como se deben de reportar los resultados de una auditorí a Gráfica 5.1 Pasos para elaborar un programa de trabajo Lista de ilustraciones Ilustración 3.1 Robert Tappan Morris Ilustración 3.2 Vladimir Levin Ilustración 3.3 Kevin Mitnick
13 METODOLOGÍ A DE LA AUDITORÍ A A LA SEGURIDAD LÓGICA DEL SISTEMA OPERATIVO AIX VERSIÓN 4.2 RESUMEN La pérdida de imagen, dinero, clientes o hasta la ruina financiera y económica de algunas organizaciones, en gran medida puede producirse por una débil arquitectura de seguridad o a un mal diseño de la misma. Un problema frecuente es que no existe en las organizaciones un esquema de seguridad lógica óptimo o si existe no esta adecuadamente definido y actualizado para que puedan contrarrestarse los diferentes ataques tanto por personal interno como externo. Otro problema de Seguridad Lógica, es cuando se cambia o actualiza el sistema operativo, la mayorí a de las veces no es adecuadamente parametrizado de acuerdo a las necesidades de la organización; lo cual crea tremendos retos para los accionistas, directores de las organizaciones, gerentes y los profesionales que están involucrados en las Tecnologí as de Información (TI) y los Procesos de Negocio (PN). Teniendo en cuenta los cambios tecnológicos tan rápidos en TI y PN y la problemática anteriormente descrita, se ha desarrollado esta tesis con el nombre de METODOLOGÍA DE LA AUDITORÍA A LA SEGURIDAD LÓGICA DEL SISTEMA OPERATIVO AIX VERSIÓN 4.2 La base de este proyecto fue una exhaustiva investigación bibliográfica. Asimismo, como caso práctico se investigó, elaboró, diseñó y se aplicó un programa de trabajo de Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2 en una organización real. Para llevar acabo la auditorí a se integró un equipo de trabajo con personal del área de Auditorí a a las TI y PN y el área de Informática de la organización (interno), así como el personal técnico de IBM (externo). La justificación de este proyecto está basada en que la mayorí a de las organizaciones nacionales y trasnacionales (pequeñas, medianas y grandes) que posean Sistemas de TI y PN, deben someterse a auditorias para que se evalué el nivel de su Seguridad Lógica en sus sistemas operativos ya que el éxito de una empresa depende de la eficiencia de su información. DE PREINSCRIPCIÓN El objetivo general de esta investigación es el análisis, diseño de una metodologí a de auditorí a para ser aplicada al programa de trabajo propuesto a una Auditorí a a Seguridad Lógica del Sistema Operativo AIX versión 4.2. La tesis se encuentra dividida en 5 capí tulos, de los cuales los capí tulos 1 y 2 contemplan el marco teórico que corresponden a la Teorí a básica de Auditorí a a las TI y PN y se presentan los Fundamentos de Seguridad Lógica para minimizar los riesgos en las Organizaciones. En el capí tulo 3 se describen algunas de las historias de accesos ilegales sobresalientes que han afectado la Seguridad Lógica; en el capí tulo 4 se muestra la metodologí a de auditorí a a las TI y PN propuesta y en el capí tulo 5 se describe como se diseñó, aplicó y validó un Programa de Trabajo para realizar una Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2, posteriormente se obtuvieron los resultados y fue elaborado el reporte de auditorí a correspondiente. Al final se muestran las conclusiones obtenidas y la bibliografí a utilizada Las limitaciones del estudio de esta tesis es que no contempla la teorí a sobre Seguridad Fí sica y es de suma importancia comprenderla y aplicar los puntos de control cuando se realiza una auditorí a a cualquier componente (hardware, redes y telecomunicaciones, software de sistemas, bases de datos, sistemas en aplicación, sistemas de negocio). Cabe mencionar que el ámbito de la auditorí a a las TI y PN es tan amplio que se pueden auditar algunas de las áreas o componentes pero no todos. Por lo que se recomienda que sea seleccionado el componente según el juicio del ente auditado o el tenga más riesgo. Para efectos de esta tesis solo fue seleccionado el componente del
14 sistema operativo AIX versión 4.2. AUDIT METHODOLOGY TO THE LOGICAL COMPUTER SECURITY OF THE OPERATING SYSTEM AIX VERSION 4.2 SUMMARY The loss of image, money, clients, or the economic and financial ruin of some businesses, in great measure can be produced by a weak architecture of logical computer security or to a bad design of the same one. Is that there is not an optimal scheme of logical computer security in the organizations. If that is, it is not adequately defined or updated so as to counteract the different attacks done not only by internal personnel, but also by external personnel. Another frequent problem of logical computer security, is when the operating system changed or updated. Most of the time it is not adequately arranged according to the needs of the organization and this creates tremendous challenges for the shareholders, businesses directors, managers and professionals involved in the Information Technology (IT) and Business Process (BP). Keeping that in mind, the quick technological changes in IT and BP and the problems previously described, are the subject of this thesis: AUDIT METHODOLOGY TO THE LOGICAL COMPUTER SECURITY OF THE OPERATING SYSTEM AIX VERSION 4.2 The base of this project was an exhaustive bibliographical investigation. Likewise as a practical case, an audit work program to the Logical Security of the Operating System AIX 4.2 in a real business was investigated, devised, designated and applied. In order to finish the audit, a team worked with personnel from the audit area and from the area of data processing, a personnel from IBM techical support was integrated and the evaluation was carried out. The justification of this project is based on the fact that the majority of the national and transnational businesses (small, medium and large) which possess TI and BP, should be submitted to audit so that way the level of their logical computer security in their operating systems could be evaluated. The success of a business depends on the efficiency of their information. The general objective of this research is the analysis and design of an audit methodology to be applied to a case study on the logical computer security of the Operating System AIX version 4.2. The thesis is divided into 5 chapters, from which chapters 1 and 2 contemplate the theoretical framework that correspond to the basic theory of audit to the IT and BP and presents theory on Logical Security that allows organizations to minimize their risks. In the Chapter 3 presents the outstanding illegality of access stories that have affected logical computer security. In chapter 4 is shown the audit methodology to the IT and BP proposed. Chapter 5 describe the way a work program was designed and applied to the Logical Security of the Operating System AIX version 4.2. Subsequently the results were obtained and the corresponding report of audit was elaborated. In the end, conclusions obtained and the bibliography used are showed. The limitations of the study of this thesis are that it does not contemplate the theory on Physical Security and that it s highly important to understand and apply the control points when an audit component is carried out to any component (hardware, networks and telecommunications, software of systems, data bases, application systems, business systems). It is important to mention also that due to the extensiveness of audit to the IT and PB environment some of the areas or components could be audited as needed. Therefore it is recommended to select the component be selected according to the judgment of the entity audited or the higher risks. For the proposes of this thesis, only the component of the operating system AIX version 4.2 was selected.
15 1 Introducción La pérdida de imagen, dinero, clientes o hasta la ruina financiera y económica de algunas organizaciones, en gran medida se debe por una débil arquitectura de seguridad o un mal diseño de la misma creando verdaderos retos para los accionistas, directores de organizaciones, gerentes y todo aquel profesional que esté involucrado en las Tecnologí as de Información (TI) y los Procesos de Negocio (PN). A finales del siglo XX y a principios del XXI emergieron diferentes corrientes sobre las Tecnologí as de Información y de Procesos de Negocio, como son: las computadoras inalámbricas, sistemas operativos abiertos, sistemas cliente servidor, el Internet 2, así como el mundo de los e- Business, e-commerce, e-learning, e-health, e-voting, e-government, e-móvil, entre otros. Por otro lado, los diferentes sistemas emiten información y se considera que es el activo más importante que poseen tanto las organizaciones como los individuos, la información debe ser confiable, oportuna e í ntegra, así que las corrientes que están emergiendo en las TI y PN como la protección de la información necesita fuertes esquemas de seguridad lógica. Teniendo en cuenta los cambios tecnológicos tan rápidos y anteriormente descritos, se ha desarrollado esta tesis con el nombre de METODOLOGÍA DE LA AUDITORÍA A LA SEGURIDAD LÓGICA DEL SISTEMA OPERATIVO AIX VERSIÓN 4.2 El proyecto se basó en una exhaustiva investigación bibliográfica, para el caso práctico se investigó, elaboró, diseñó y aplicó un programa de trabajo de Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2 en una organización real. Para llevar acabo la auditorí a se integró un equipo de trabajo con personal del área de Auditorí a a las TI y PN, el área de Informática de la misma organización y personal técnico de IBM. Planteamiento del Problema Un problema frecuente es que no existe en las organizaciones un esquema de seguridad lógica óptimo; o si existe no esta definido adecuadamente o actualizada oportunamente para contrarrestar los diferentes ataques; tanto por personal interno como externo. Otro problema es, que cuando se instala por primera vez o actualiza el sistema operativo la mayorí a de las veces no sé parametriza de acuerdo a las necesidades de la organización, asimismo, para el mantenimiento (alta, baja y cambio de usuarios, entre otros) no se realiza de manera oportuna. 2 Antecedentes - La Auditorí a en Sistemas o en Informática ahora llamada Auditorí a a las Tecnologí as de Información y Procesos de Negocio, debió haber surgido desde que las computadoras y los sistemas que soportaban las operaciones se empezaron a utilizar por primera vez (Primera generación de computadoras ) en las diferentes organizaciones, pero esta disciplina empezó a ser reconocida en nuestro paí s en la década de los 80s, cuando las computadoras de la cuarta generación ya tení an algunos años de haber sido utilizadas. Las computadoras de la cuarta generación que fueron comercializadas desde el año de 1971 ya contaban con microprocesadores, chips de memoria y miniaturización y se podí an clasificar en supercomputadoras, minicomputadoras y microcomputadoras. Las organizaciones del sector privado y público soportaban sus operaciones del negocio -producción, inventarios, recursos humanos, nóminas, ventas, compras, entre otros- a través de éstas, por lo que la disciplina de Auditorí a a las Tecnologí as de Información y Procesos de Negocio se tornó necesaria. Después, siguió el lápiz óptico, tableta digitalizadora, reconocimiento de voz, pantallas sensibles al tacto, scanners, diferentes sistemas operativos, múltiples lenguajes de programación, así como diferentes tipos de software de uso general que tienen integrados todos los módulos de negocio de las organizaciones (finanzas, contabilidad, recursos humanos, nóminas, producción, inventarios, transferencias bancarias, etc.) entre los que se encuentran, JDEdwars, SAP que son denominados como ERP s. (Enterprise Resource Planning). En el año de 1993 el fí sico Tim Berners-Lee de la organización Conseil Européen pour la Recherche Nucleaire (CERN) - Laboratorio Europeo para la Fí sica de las Partí culas - inventó la World Wide Web (WEB). Éste descubrimiento trajo consigo una forma diferente de interconexión de servidores y por lo tanto una manera diferente de hacer negocios
16 en lí nea. La nueva forma de operar en las organizaciones, tanto por ví a WEB como de la manera tradicional, hacen que el auditor en las Tecnologí as de Información y Procesos de Negocio juegue un papel relevante, ya que una de sus tareas principales es la evaluación de controles de los accesos a los recursos computacionales como son al hardware, redes y telecomunicaciones, software de sistemas, bases de datos, sistemas que soportan las operaciones de los negocios y sistemas para la toma de decisiones. Con base a está evaluación se puedan minimizar los riesgos evitando que los recursos sean destruidos, alterados, consultados o modificados por personas internas o externas. 3 Justificación Por lo tanto las organizaciones nacionales y trasnacionales (pequeñas, medianas y grandes) que posean Sistemas de Tecnologí as de Información y Procesos de Negocio, deben de someterse a evaluaciones para determinar el nivel de Seguridad Lógica en sus sistemas operativos. Ya que la mayorí a de las organizaciones tienen su información en sistemas computacionales, de aquí, la vital importancia de que los sistemas de información cuenten con medidas de seguridad adecuadas. El éxito de una organización depende de la eficiencia de sus sistemas, una organización puede tener un staff de gente de primera, pero si tiene un sistema informático sin medidas de seguridad lógica mí nimas y si voluntaria o involuntariamente sufre un ataque a sus recursos computacionales, esto le puede ocasionar pérdida de imagen, dinero, clientes y hasta llevarla a la ruina financiera; a la organización le constará más trabajo salir adelante o quizá nunca saldrá. Objetivos planteados Objetivo general Diseño de un programa para aplicar la Metodologí a de la Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2. Objetivos especí ficos Estudiar y comprender el perí metro de seguridad lógica Comprender el área o componente que se va auditar Analizar y tomar decisiones para determinar que puntos van a ser considerados en el programa de estudio Seleccionar los procedimientos de auditorí a Elaborar el programa de auditorí a Aplicar el programa y obtener los resultados Presentar el esquema sobre una Arquitectura de Seguridad Lógica para que las organizaciones puedan minimizar sur riesgos. Alcance y limitaciones del Estudio - Los capí tulos 1 y 4 corresponden a la Teorí a sobre la Auditorí a a las TI y PN y a la Metodologí a propuesta, éstos capí tulos son fundamentales y se recomienda que sean estudiados y comprendidos antes de iniciar una Auditorí a. Cabe aclarar, que la tesis no contempla teorí a sobre Seguridad Fí sica y que es de suma importancia de comprenderla cuando se realiza una evaluación. Debido a que es tan amplio el ámbito del auditor ya que puede evaluar hardware, redes y telecomunicaciones, sistemas operativos, plataformas de software de 4 sistemas, bases de datos, sistemas que soportan las operaciones del negocio y sistemas para la toma de decisiones, entre otros componentes o áreas, se pueden auditar algunos pero no todos a la vez, por lo que se recomienda seleccionar aquel componte o área que tenga mayor riesgo. Cabe enfatizar que en esta tesis solo se va a explicar como se puede auditar el Sistema Operativo AIX versión 4.2 desde el punto de vista de seguridad Lógica. Resumen de los capí tulos El CAPÍTULO 1 hace alusión a la Teorí a sobre la Auditorí a a las Tecnologí a de Información (TI) y Procesos de Negocio (PN) enfatizando en la estructura, planeación estratégica, táctica, operacional y marco de trabajo así como también se detallan conceptos sobre el control interno, riesgos y exposiciones, código de ética, estándares de auditoria, normas y procedimientos de organismos que están regulando la función, entre otros aspectos de importancia.
17 El CAPÍTULO 2 comenta sobre los Fundamentos de Seguridad Lógica para minimizar los riesgos en las Organizaciones, poniendo énfasis en definiciones de seguridad lógica, amenazas humanos y métodos comunes a que están expuestos los recursos computacionales, propuesta de arquitectura de seguridad para que las organizaciones puedan minimizar sus riesgos, conceptos básicos para implementar un esquema de seguridad en la red, entre otros aspectos. En el CAPÍTULO 3 se presentan historias de accesos ilegales sobresalientes que han afectado la seguridad lógica, poniendo atención especial en los antecedentes, hackers y prackers famosos, historias de páginas web modificadas en el ámbito internacional y nacional. El CAPÍTULO 4 describe la Metodologí a de la Auditorí a a las TI y PN, donde se detallan las definiciones, tipos y clases, metodologí a propuesta de auditorí a a las TI y PN, tipos de evidencia, así como las técnicas asistidas por computadora más usadas. Por último, el CAPÍTULO 5 contempla los pasos a seguir para la elaboración y aplicación de un Programa de Trabajo de Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2 poniendo énfasis entre otros aspectos, en la comprensión general del negocio, elaboración del programa de auditorí a, la razón del porqué se auditó el sistema operativo AIX versión 4.2, alcance del programa, objetivo y los ataques a los cuales se enfocó más la revisión, así como también se presenta 5 el programa general y detallado para verificar la seguridad lógica del sistema operativo AIX versión 4.2 y los resultados de la evaluación a través de un informe ejecutivo y otro técnico. Finalmente se incluyen las conclusiones que contestan a los objetivos planteados, las referencias bibliográficas utilizadas y las páginas web consultadas para la realización de esta tesis. Nota: Para no repetir la palabra en el transcurso de la tesis de Tecnologí as de Información y Procesos de Negocio cuando se utilicen estos términos se identificaran como TI y PN. 6 7 CAPÍTULO Teorí a sobre la Auditorí a a las Tecnologí as de Información y Procesos de Negocio Posiblemente lo más importante que las organizaciones deben entender hoy en dí a, es que no es la era Industrial, sino la era de la información y del conocimiento, por lo tanto, el cliente juega un papel importante. El consumidor más que nunca tiene acceso a más información; incluso se podrí a hablar de que nos estamos acercando a mercados perfectos y por tanto se debe estar consciente del valor de la información que se genera a través de los sistemas computacionales, ya que ésta puede agruparse con otros consumidores con el fin de conseguir mejores precios en el mercado o incluso para forzar el desarrollo de nuevos productos que mejoren la oferta estándar de los proveedores. Tratar a este tipo de cliente es distinto de tratar al cliente que tiene que adaptarse a una oferta que se presenta en lugares geográficos especí ficos como; tiendas, supermercados, hipermercados, entre otros sitios. El juego no consiste sólo en que las organizaciones deben conseguir la fidelidad de sus clientes, sino que para venderles algo deben demostrarles un alto poder de servicio y además deben hacerlo las 24 horas del dí a. Para realizar las ventas ví a Internet (e-business e-commerce) o por teléfono móvil (e-movil) los clientes alrededor del mundo están a sólo un clic de distancia para realizar las transacciones, lo importante para las organizaciones es retener a los clientes, quienes buscarán a aquellos que les den soluciones de negocio que les aporten verdadero valor agregado, a aquellas que se ganen su confianza a través de soluciones claras y cuanto más personalizadas mejor; lo anterior,
18 hace que se deba siempre mantener un nivel alto de seguridad lógica en las organizaciones. Para llegar a lograr un nivel alto, primero se va a describir en términos generales que es la Estructura de las Tecnologí as de Información y Procesos de Negocio y otros conceptos relacionados, como: control interno, riesgos y exposiciones, asociaciones de auditorí a y control de tecnologí a de información, estándares, organismos internacionales, así como los objetivos de control de información relacionados a la tecnologí a, entre otros aspectos de relevancia. 1.1 Estructura de las Tecnologí as de Información y Procesos de Negocio 10 Para que una organización pueda operar en forma efectiva se sugiere que se segmente en dos grandes divisiones; una netamente tecnológica y otra para dar soporte a los negocios; éstas deben estar relacionadas entre sí. A la parte tecnológica se le dominará como Tecnologí a de Información y a la parte de soporte a los negocios como Procesos de Negocio.1 La Tecnologí a de Información incluye: hardware, redes y telecomunicaciones, plataformas de sistemas operativos y plataformas de software de sistemas y la de Procesos de Negocio incluye: bases de datos, sistemas que soportan las operaciones del negocio y sistemas para la toma de decisiones. A continuación se presenta la gráfica donde se muestran las diferentes capas de las TI y PN. Gráfica 1.1 División de la tecnología computacional Las 6 capas son el pilar de la Informática en cualquier organización. Para que cada capa esté dando los resultados deseados se necesitan 3 elementos relacionados a la seguridad lógica, éstas son: Definir estrategias y polí ticas, monitoreo de eventos, y proporcionar soluciones tecnológicas. En párrafos posteriores donde se describe el marco de trabajo se explicaran éstos elementos. 1.2 Planeación estraté gica, táctica y operacional Todas las organizaciones deben contar con 3 tipos de planeación: estratégica, táctica y operacional. Cabe hacer mención que los 3 tipos de planeación deben estar alineados a los objetivos de la organización Global Best Practices Arthur Consulting, p.8-10 Pla ta fo rmas d e sistema s o p e ra tiv o s Pla ta fo rma d e hardw a re, red e s y te lec om. Pla ta fo rmas d e so ftwa re d e s is tem a s Man e ja d o re s d e b as e s d e d a to s S istem as q u e s o p o rta n la s o p e ra c io n es d e l n eg o c io S istem as p ara la toma d e d e c is io n e s Pro c e so s d e Ne g o c io T ec n o lo g ía d e In fo rmac ió n 11 Planeación Estratégica es donde se definen la misión, visión y objetivos a largo plazo de la organización. Se recomienda que participen los ejecutivos de primer nivel así como los accionistas para que definan en conjunto el rumbo de la organización. Se recomienda tener una proyección estratégica de cinco a diez años. Planeación Táctica es donde se transmite a los directores y gerentes de área la misión, visión y objetivos que se han establecido a largo plazo y con base en éstos se deben definir los objetivos a mediano plazo para que puedan adecuarse a las áreas del negocio. Los objetivos por área se deben planear para ser cumplidos en un lapso de uno a cinco años. Planeación Operacional es donde se transmite a los supervisores o jefes de área los planes a mediano plazo para que con base a éstos ellos definan los objetivos a corto plazo con el personal operativo. Los objetivos por departamento se deben planear para cumplirse en un lapso de una semana a un año. Una vez que es definida la planeación estratégica, técnica y operacional y para que el área de TI y PN pueda operar se debe elaborar un documento que debe soportar el marco de trabajo. En la siguiente gráfica se muestra lo que debe de contener el documento de marco de trabajo. Marco de trabajo Actividades Conjunto de Tareas Estrategias y Polí ticas
19 Monitoreo de Eventos Soluciones Tecnológicas Las 6 áreas deben de contar con un óptimo Esquema de Seguridad Gráfica 1.2 Procesos clave relacionados al marco de trabajo 12 El marco de trabajo de un área de TI y PN requiere una serie de actividades, las cuales deben estar relacionadas con un conjunto de tareas, pero para que sé realicen correctamente se necesita que sean conocidos y aplicados por todo el personal de la organización. Por lo que se recomienda que se establezcan las siguientes actividades. Estrategias y polí ticas. Son indispensables para mantener el control en las organizaciones. Las estrategias son acciones orientadas al medio ambiente externo. Las polí ticas están alineadas a las estrategias y generalmente se orientan al interior de la organización. Monitoreo de eventos. Procesos reactivos que son capaces de medir y administrar situaciones; también pueden monitorear polí ticas que fueron implantadas y como se han seguido. Con el monitoreo de eventos se puede identificar cuando las polí ticas necesiten cambiarse, eliminarse o la elaboración de nuevas polí ticas. Soluciones tecnológicas. Las tecnologí as necesitan proveer protección apropiada y soporte tanto a procesos crí ticos como no crí ticos, así como al hardware. En resumen, las 6 capas presentadas anteriormente pueden ser sujetas a una auditorí a. Siendo tan amplio el campo de acción por los Auditores en TI y PN, se ha forzado a la mayorí a de las organizaciones a repensar sus necesidades de seguridad lógica para que sus recursos computacionales estén protegidos. Por ejemplo, el deseo de tener accesos abiertos de información como es el caso de e- Business puede incrementar robos dentro y fuera de la organización. Este conflicto no puede resolverse fácilmente usando conceptos y prácticas de seguridad lógica tradicional. Esto requiere un estudio detallado de los riesgos del negocio con una combinación de técnicas de seguridad lógica actuales y aplicables. Este es uno de tantos problemas que enfrentan las organizaciones. Para las personas interesadas en auditorí a en TI y PN no experimentadas es conveniente que conozcan las definiciones que se presentan a continuación Definiciones de polí ticas, estándares, normas, procedimientos y estrategias Polí ticas: Son documentos breves relacionados a las TI y PN; proporcionan la autoridad necesaria para establecer estándares en ejecución y darles solución especifica. En general, las polí ticas 13 siguen siendo relevantes y aplicables por un perí odo del tiempo substancial y requieren revisiones periódicas2 Estándares: Deben estar relacionados a las TI y PN o de alguna solución especí fica y proporcionan criterios más medibles para satisfacer los objetivos de alto nivel definidos por las polí ticas.3 Normas: Documento establecido por consenso y aprobado por un organismo reconocido, que suministra para uso común y repetido reglas, lineamientos o actividades, con el propósito de alcanzar el grado óptimo de orden en un contexto dado. Procedimientos. Sucesión. Serie de cosas que siguen una a otra. Estrategias. Patrón de una serie de acciones que ocurren en el tiempo. 1.3 Control Interno El entorno en que se encuentran las organizaciones operando ha cambiado significativamente durante los últimos años y este paso parece acelerarse cada vez más. Se ha visto como ha cambiado la manera de hacer negocios no solo en las organizaciones del paí s sino en el ámbito global, prácticamente se puede hacer negocio sin fronteras. En este sentido, la visión, misión y objetivos de la organización, así como sus métodos de trabajo los recursos humanos y la tecnologí a se vuelven elementos clave para el éxito y por lo tanto un modelo de Control Interno óptimo juega un papel importante. Por lo anterior, el concepto de Control
20 Interno demanda la atención no solo de los auditores sino también de los altos directivos de las Organizaciones. Un sistema de Control Interno es necesario en cualquier organización ya que provee disciplina, consistencia y lineamientos para la conducción de las organizaciones. Los controles internos deben de ser prácticos, también podrí an ayudar a prevenir, detectar y corregir errores, omisiones e irregularidades. 2 Matt Caston, Director Program Development Practice, mcaston@metasecuritygroup.conferencia idem 14 Un sistema de control interno puede cubrir controles tanto contables, administrativos e informática y compromete planes, métodos y procedimientos adoptados por una organización para cubrir, entre otros aspectos, los siguientes: Salvaguarda de activos y registros Verificar la exactitud y confiabilidad de datos contables Promover la eficiencia y efectividad operacional Manejo de polí ticas, procedimientos y estándares, y Cumplir con las leyes y regulaciones Definiciones, objetivos y prá cticas y procedimientos de control Según Ron Weber el control, los objetivos y las prácticas y procedimientos del control significan lo siguiente.4 Control. Cualquier acción tomada por la alta gerencia, se recomienda que éstas acciones estén alineadas a los objetivos, metas y misión de la organización. Objetivos de Control. Son las intenciones administrativas de que los controles se apliquen para lograr los objetivos organizacionales. Prácticas y procedimientos de control. Ayudan a alcanzar los objetivos de control deseado, los cuales cuando se llevan a cabo pueden prevenir, detectar y corregir errores, omisiones e irregularidades que ocurran en áreas de las TI y PN Categorí as del control Acorde al estudio de Committee Sponsoring Organizations of the Treadway Commission (COSO), existen dos categorí as: Los controles de tecnologí a o generales y los controles de aplicación. 4 Ron Weber, Information Systems Control and Auditby, Publisher: Prentice Hall; 1 edition October 29, p Los controles generales aseguran la continuidad de la operación y los controles de aplicación incluyen pasos automatizados dentro del software de aplicación. A continuación se describen.5 Nota: Existe una relación entre los controles generales y los controles de aplicación, esta relación es que los controles generales son necesarios para soportar el funcionamiento de los controles de aplicación y ambos son indispensables para asegurar el completo y correcto procesamiento Controles generales Comúnmente incluyen controles sobre operaciones del centro de procesamiento de datos, software de sistemas, sistemas operativos y utilitarios, seguridad de acceso (lógica y fí sica), desarrollo, adquisición y mantenimiento de sistemas y también incluye la parte de administración del departamento de informática. Son aplicables a todas las plataformas de mainframe, mini computadoras y ambientes de computación de usuario final, a continuación se describen algunos de éstos controles. Operaciones del centro de cómputo. Los trabajos de operador incluyen por ejemplo, set up, scheduling recuperación, respaldos, planes de contingencia, entre otros. Software de sistemas. Incluyen la adquisición, implantación y mantenimiento del software de sistemas (ejemplo, sistemas operativos, sistemas de administración de base, software de telecomunicaciones, software de seguridad y programas utilitarios), los cuales corren en el sistema y permiten las funciones de las aplicaciones. Seguridad de accesos. Están asumiendo gran importancia sobre las telecomunicaciones y redes, debido a su rápido avance tecnológico. Los controles de seguridad de accesos efectivos pueden
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesIAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)
IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) Introducción 1. Como se indica en la Norma Internacional de Auditoría 401, "Auditoría en un contexto informatizado", los objetivos globales
Más detallesMETODOLOGIAS DE AUDITORIA INFORMATICA
METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesSesión No. 12. Contextualización: Nombre de la sesión: SAP segunda parte PAQUETERÍA CONTABLE
Paquetería contable PAQUETERÍA CONTABLE Sesión No. 12 Nombre de la sesión: SAP segunda parte Contextualización: Los sistemas ERP son actualmente las herramientas que se han impuesto y son la base operativa
Más detallesInfraestructura Extendida de Seguridad IES
Infraestructura Extendida de Seguridad IES BANCO DE MÉXICO Dirección General de Sistemas de Pagos y Riesgos Dirección de Sistemas de Pagos INDICE 1. INTRODUCCION... 3 2. LA IES DISEÑADA POR BANCO DE MÉXICO...
Más detallese-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.
Comercio electrónico. (e-commerce) Las empresas que ya están utilizando la red para hacer comercio ven como están cambiando las relaciones de la empresa con sus clientes, sus empleados, sus colaboradores
Más detallesIntroducción a la Firma Electrónica en MIDAS
Introducción a la Firma Electrónica en MIDAS Firma Digital Introducción. El Módulo para la Integración de Documentos y Acceso a los Sistemas(MIDAS) emplea la firma digital como método de aseguramiento
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesGLOSARIO DE TÉRMINOS
GLOSARIO DE TÉRMINOS A Alcance de la auditoría. El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. Auditores externos. Profesionales facultados
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesPOLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE
SISTEMAS DE ÍNDICE PÁGINA INTRODUCCIÓN OBJETIVO 3 FUNDAMENTO LEGAL 4 DEFINICIONES 5 POLÍTICAS 6 De la base de datos Del acceso a los sistemas De los sistemas Web Ambientes de Desarrollo, Calidad o Pruebas,
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detallesINSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE
SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesModificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.
UNIVERSIDAD DE CARABOBO FACULTAD DE CIENCIA Y TECNOLOGÍA DIRECCION DE EXTENSION COORDINACION DE PASANTIAS Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere. Pasante:
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesPOLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización
POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA Nuestra política de privacidad se aplica al uso de las aplicaciones informáticas de los siguientes medios de comunicación: LaTercera, LaCuarta,
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesUnidad 1. Fundamentos en Gestión de Riesgos
1.1 Gestión de Proyectos Unidad 1. Fundamentos en Gestión de Riesgos La gestión de proyectos es una disciplina con la cual se integran los procesos propios de la gerencia o administración de proyectos.
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesGATEWAYS COMO FIREWALLS
GATEWAYS COMO FIREWALLS Ricardo Sánchez Q. Estudiante Ingeniería Telemática Aunque las empresas que han experimentado un ataque a su red por mano de usuarios no deseados, son recientes a hablar sobre sus
Más detallesCONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Más detallesGUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000
1 INTRODUCCIÓN Dos de los objetivos más importantes en la revisión de la serie de normas ISO 9000 han sido: desarrollar un grupo simple de normas que sean igualmente aplicables a las pequeñas, a las medianas
Más detallesAuditoría de procesos con alto grado de automatización*
Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente
Más detallesMaster en Gestion de la Calidad
Master en Gestion de la Calidad Registros de un Sistema de Gestion de la Calidad Manual, procedimientos y registros 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer que es un registro
Más detallesDefinición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS
Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de
Más detallesUNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES
UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES DESCRIPCIÓN DE CURSO DE LA CARRERA DE MAESTRÍA Y POSTGRADO EN AUDITORÍA DE SISTEMAS Y EVALUACIÓN
Más detalles5 formas de mejorar su negocio con COMPUTACIÓN EN LA NUBE
5 formas de mejorar su negocio con COMPUTACIÓN EN LA NUBE Julio 2012 Introducción. Cada empresa y cada empresario ha entendido que, si hay una constante, ésta es el cambio. Día a día, los negocios se ponen
Más detallesREPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES
REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES III CURSO MAESTRIA EN ALTA GERENCIA PLAN DE IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN, BAJO LA NORMA ISO 17799:2005 EN ANDINATEL
Más detallesIAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN
IAP 1005 - CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN Introducción 1. Las Normas Internacionales de Auditoría (NIA) se aplican a la auditoría de la información
Más detallesGestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi
Gestión de Permisos Bizagi Suite Gestión de Permisos 1 Tabla de Contenido Gestión de Permisos... 3 Definiciones... 3 Rol... 3 Perfil... 3 Permiso... 3 Módulo... 3 Privilegio... 3 Elementos del Proceso...
Más detallesPreguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información
Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,
Más detallesINFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA
INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES
Más detallesCOMERCIO ELECTRÓNICO UNA INTRODUCCIÓN GENERAL
This project funded by Leonardo da Vinci has been carried out with the support of the European Community. The content of this project does not necessarily reflect the position of the European Community
Más detallesENFOQUE ISO 9000:2000
ENFOQUE ISO 9000:2000 1 PRESENTACION En 1980 la IOS (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION) organismo de origen europeo, enfoco sus esfuerzos hacia el establecimiento de lineamientos en términos
Más detallesProcedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral
Página: 1 de 1 Hoja de Control de Emisión y Revisiones. N de Revisión Páginas Afectadas Motivo del Cambio Aplica a partir de: 0 Todas Generación de documento 01-Agosto-2009 1 Todas Mejora del documento
Más detallesDECLARACIÓN DE PRIVACIDAD DE FONOWEB
DECLARACIÓN DE PRIVACIDAD DE FONOWEB Fonoweb se compromete a respetar su privacidad y la confidencialidad de su información personal, los datos de las comunicaciones y el contenido de las comunicaciones
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesCapítulo IV. Manejo de Problemas
Manejo de Problemas Manejo de problemas Tabla de contenido 1.- En qué consiste el manejo de problemas?...57 1.1.- Ventajas...58 1.2.- Barreras...59 2.- Actividades...59 2.1.- Control de problemas...60
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesDE VIDA PARA EL DESARROLLO DE SISTEMAS
MÉTODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS 1. METODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS CICLO DE VIDA CLÁSICO DEL DESARROLLO DE SISTEMAS. El desarrollo de Sistemas, un proceso
Más detallesInfraestructura Tecnológica. Sesión 10: Sistemas cortafuego
Infraestructura Tecnológica Sesión 10: Sistemas cortafuego Contextualización Actualmente tendemos a utilizar los sistemas de comunicación en una forma masiva, por lo que no siempre tenemos el cuidado adecuado
Más detallesNombre del Trabajo: Control ActiveX que garantiza la seguridad de las aplicaciones desarrolladas para windows.
Nombre del Trabajo: Control ActiveX que garantiza la seguridad de las aplicaciones desarrolladas para windows. Autor: Lic. Carlos Mora Rojas. Institucion: Centro de Calculo Provincial de Salud Publica.
Más detallesSISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT
SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesAUDITORÍAS Y AUDITORES ISO 9000:2000
AUDITORÍAS Y AUDITORES ISO 9000:2000 Ing. Miguel García Altamirano Servicios CONDUMEX S.A. de C.V. Delegado Mexicano en el Comité Internacional ISO TC 176 en el grupo JWG "Auditorías" Resumen: Los sistemas
Más detallesMANUAL DE CALIDAD ISO 9001:2008
Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO
Más detallesNORMA TÉCNICA DE AUDITORÍA SOBRE CONSIDERACIONES RELATIVAS A LA AUDITORÍA DE ENTIDADES QUE EXTERIORIZAN PROCESOS DE ADMINISTRACIÓN
Resolución de 26 de marzo de 2004, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre consideraciones relativas a la auditoría de entidades
Más detallesACLARACIONES ADICIONALES PARA EL FORMULARIO 311
ACLARACIONES ADICIONALES PARA EL FORMULARIO 311 ANTECEDENTES Conforme DECRETO EJECUTIVO N 2126 Publicado en el R. O. No.436 de miércoles 6 de octubre de 2004 se publican las REFORMAS AL REGLAMENTO DE COMPROBANTES
Más detallesAdministración de Centros de Computo. ITIL. MSG.ING. DARWIN CERCADO B dcercado@primma.com.ec
Administración de Centros de Computo. ITIL dcercado@primma.com.ec Situación Procesos de negocio complejos y cambiantes, tiempos acelerados y un mercado global imponen requerimientos exigentes. El negocio
Más detalles"Diseño, construcción e implementación de modelos matemáticos para el control automatizado de inventarios
"Diseño, construcción e implementación de modelos matemáticos para el control automatizado de inventarios Miguel Alfonso Flores Sánchez 1, Fernando Sandoya Sanchez 2 Resumen En el presente artículo se
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesSISTEMAS DE INFORMACION ESTRATEGICOS
SISTEMAS DE INFORMACION ESTRATEGICOS DEFINICION Son el uso de la tecnología de la información para soportar o dar forma a la estrategia competitiva de la organización, a su plan para incrementar o mantener
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesEstatuto de Auditoría Interna
Febrero de 2008 Introducción Mediante el presente Estatuto, se pone en conocimiento de toda la Organización la decisión del Consejo de Administración de Grupo Prosegur de implantar a nivel corporativo
Más detallesNorma de uso Identificación y autentificación Ministerio del Interior N02
Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados
Más detallesEXPERTOS EN DESARROLLO WEB
EXPERTOS EN DESARROLLO WEB ADAPTACIÓN A LA NUEVA NORMATIVA SOBRE COOKIES NUEVA NORMATIVA SOBRE EL USO DE COOKIES A D SITUACIÓN DESEADA SITUACIÓN ACTUAL Se establecen multas a las empresas que no informen
Más detallesAUDITORIA DEL SISTEMA DE GESTIÓN Y ENSAYOS PARA LA EMISIÓN DE DECLARACIÓN DE CONFORMIDAD LISTA DE VERIFICACIÓN
Instituto Nacional de Tecnología Industrial Programa de Metrología Legal Sede Central - Av. Gral. Paz 5445 e/ Albarellos y Av. Constituyentes - B1650KNA C.C. 157 B1650WAB San Martín, Prov. Buenos Aires
Más detallesDiseño dinámico de arquitecturas de información
Diseño dinámico de arquitecturas de información CARACTERISTICAS DEL SISTEMA Las organizaciones modernas basan su operación en la gestión del conocimiento, es decir, en el manejo de información que se presenta
Más detallesEl 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas
INFORME SEGURIDAD EMPRESAS Informe Global IT Security Risks de Kaspersky Lab El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas Un 55% de
Más detallesLICENCIA PLATAFORMA ERM
LICENCIA PLATAFORMA ERM 1. Introducción A una década de haber arrancado un nuevo milenio las organizaciones experimentan una serie de retos debido a la manera de hacer negocios, la sociedad, el mercado
Más detallesIs not jus power, is reliability and trust. Yei Systems S.A. de C.V.
Is not jus power, is reliability and trust Yei Systems S.A. de C.V. Nos es muy grato dirigirnos a Usted para ofrecerle nuestros servicios de Auditoría de sistemas, Desarrollo de software y Seguridad Informática
Más detallesMetodología básica de gestión de proyectos. Octubre de 2003
Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesIntroducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos
CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los
Más detallesPolítica de Control de Hojas de Cálculo. Prorrectoría
Política de Control de Hojas de Cálculo Prorrectoría ÍNDICE O CONTENIDO 1. PROPOSITO DE LA POLÍTICA... 3 2. ALCANCE... 3 3. GLOSARIO... 3 4. DESCRIPCIÓN DE LA POLÍTICA... 5 Control de cambios... 5 Control
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesResumen del trabajo sobre DNSSEC
Resumen del trabajo sobre Contenido 1. -...2 1.1. - Definición...2 1.2. - Seguridad basada en cifrado...2 1.3. - Cadenas de confianza...3 1.4. - Confianzas...4 1.5. - Islas de confianza...4 2. - Conclusiones...5
Más detallesPrincipios de Privacidad y Confidencialidad de la Información
Principios de Privacidad y Confidencialidad de la Información Con el objetivo de mantener nuestro permanente liderazgo en la protección de la privacidad del cliente, Manufacturera 3M S.A de C.V está activamente
Más detallesPolítica de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.
de Riesgos Compañía Sud Americana de Vapores S.A. Elaborado Por Revisado Por Aprobado por Nombre Cargo Fecha Claudio Salgado Comité de Directores Contralor Comité de Directores Diciembre 2015 21 de diciembre
Más detallesLista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1
Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1 Sección Punto de Control Cumplimiento 4. Requisitos del Sistema de gestión de la seguridad y salud ocupacional 4.1 Requisitos
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE SOPORTE DE PLATAFORMA GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO El objeto del procedimiento es garantizar una plataforma tecnológica y un sistema de comunicación
Más detallesIAP 1003 - ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS
IAP 1003 - ENTORNOS INFORMATIZADOS CON SISTEMAS DE BASES DE DATOS Introducción 1. El propósito de esta Declaración es prestar apoyo al auditor a la implantación de la NIA 400, "Evaluación del Riesgo y
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesGuía para identificar riesgos en el Proceso de Inventarios
2010 Guía de Auditoría Guía para identificar riesgos en el Proceso de Inventarios www.auditool.org Red de Conocimientos en Auditoría y Interno 31/10/2010 Identificación de riesgos en el proceso de inventarios
Más detallesIntroducción En los años 60 s y 70 s cuando se comenzaron a utilizar recursos de tecnología de información, no existía la computación personal, sino que en grandes centros de cómputo se realizaban todas
Más detallesI. INTRODUCCIÓN DEFINICIONES
REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN
Más detallesBYOD - Retos de seguridad
BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir
Más detallesFACULTAD DE CONTADURIA Y CIENCIAS ADMINISTRATIVAS FINANZAS I NORMAS DE INFORMACION FINANCIERA
Normas de Información Financiera Durante más de 30 años, la Comisión de Principios de Contabilidad (CPC) del Instituto Mexicano de Contadores Públicos A. C. (IMCP) fue la encargada de emitir la normatividad
Más detallesArquitectura de seguridad OSI (ISO 7498-2)
Universidad Nacional Autónoma de México Facultad de Ingeniería Criptografía Grupo 2 Arquitectura de seguridad OSI (ISO 7498-2) ALUMNOS: ARGUETA CORTES JAIRO I. MENDOZA GAYTAN JOSE T. ELIZABETH RUBIO MEJÍA
Más detallesCONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL
CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO 2009 1 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION.
Más detalles3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE
3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE Software Configuration Management (SCM) es una disciplina de la Ingeniería de Software que se preocupa de [Ber92] [Ber84] [Bou98] [Mik97]: Identificar y documentar
Más detallesINTRODUCCIÓN CAPITULO I 1.1 PLANTEAMIENTO DEL PROBLEMA.
CAPITULO I 1.1 PLANTEAMIENTO DEL PROBLEMA. Hoy en día las empresas en México quieren ocupar un lugar privilegiado en un mercado cambiante y lleno de retos. Por esa razón necesitan crear nuevas estrategias
Más detallesSoporte. Misión y Visión
Misión y Visión Misión Proporcionar servicios especializados, agregando valor a sus clientes, concentrando recursos y esfuerzos a través de profesionales innovadores en la solución de problemas utilizando
Más detallesANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO
ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO EJECUTADO POR LA UNIDAD EJECUTORA CENTRAL DURANTE EL PERÍODO DEL [Fecha] AL [Fecha] 1- Consideraciones básicas Estos Términos de Referencia
Más detallesOHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo
OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras
Más detallesPolíticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica
Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica 2007 Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional
Más detallesMANEJO DE QUEJAS Y RECLAMOS
MANEJO DE QUEJAS Y RECLAMOS Derechos reservados ICONTEC- 1 OBJETIVO GENERAL Proponer una metodología para la planeación, diseño, operación, mantenimiento y mejora de un proceso para el manejo de los reclamos
Más detalles