Agradecimientos A mis padres; Virginia Morales Morales y Roberto Pérez Hernández, por su amor, paciencia infinita y comprensión.

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Agradecimientos A mis padres; Virginia Morales Morales y Roberto Pérez Hernández, por su amor, paciencia infinita y comprensión."

Transcripción

1 Agradecimientos A mis padres; Virginia Morales Morales y Roberto Pérez Hernández, por su amor, paciencia infinita y comprensión. A mi tí a, Celia Pérez Hernández y a mis hermanos; Hugo, Marí a Guadalupe, Ví ctor Manuel, Carlos Marcelo, Miguel Ángel y Felipe Pascual, por su apoyo constante e incondicional. A mi asesor de tesis M. en C. Rafael Ibáñez Castañeda y a mis sinodales M. en C. Emilia Abad Ruiz, M. en C. Carlos González Escamilla, M. en C. Abel Bueno Meza, M. en C. Guillermo Pérez Vázquez, por su orientación, comentarios y paciencia los cuales me permitieron llegar al final de este proyecto. A todos y cada uno de mis profesores por sus valiosas enseñanzas y a mi fuente de conocimiento Universitario. A mis amigos, ya que sus enseñanzas me sirven para reflexionar hasta en la más compleja de mis acciones y a todas aquellas personas que están cerca de mi y que impulsan a seguir por la senda profesional. Í NDICE Pág. Introducción CAPÍ TULO 1 Teorí a sobre la Auditorí a a las Tecnologí as de Información y Procesos de Negocio 1.1 Estructura de las Tecnologí as de Información y Procesos de Negocio 1.2 Planeación estratégica, táctica y operacional Definiciones de polí ticas, estándares, normas, procedimientos y estrategias 1.3 Control Interno Definiciones, objetivos y prácticas y procedimientos de control Categorí as del control Controles generales Controles de aplicación Caracterí sticas y requerimientos del control Clasificación del control Controles por su acción u objetivo Análisis de costo beneficio en la implantación de controles Controles compensatorios e interrelaciones entre controles Uso de controles 1.4 Riesgos y exposiciones Definiciones de riesgo y exposiciones Evaluación de riesgo Tipos de evaluación de riesgo Categorización global de riesgo Tipos de riesgos Riesgos de negocio Riesgos de control Riesgos de auditorí a Riesgos de información Riesgos de integridad...

2 Asociación de Auditorí a y Control de Sistemas de Información (The Information Systems Audit and Control Association - ISACA) y el Programa de Certificación 1.6 Código de Ética 1.7 Estándares de auditorí a de sistemas de información 1.8 Organismos que emiten estándares de auditorí a a las TI y PN 1.9 Objetivos de control de Información relacionados a la Tecnologí a Control Objectives for Information and Related Technology (COBIT) CAPÍ TULO 2 Fundamentos de Seguridad Lógica para minimizar los riesgos en las Organizaciones 2.1 Definiciones de Seguridad Lógica y Auditorí a a la Seguridad Lógica 2.2 Amenazas humanas y métodos más comunes a que están expuestos los recursos computacionales Clasificación de personas que pueden atacar los recursos computacionales Métodos más usados tanto por personal interno como externo para atacar los recursos computacionales

3 2.3 Propuesta de arquitectura de seguridad lógica para que las organizaciones puedan minimizar sus riesgos Análisis de impacto del negocio Polí ticas y estrategias de seguridad general Infraestructura técnica Técnicas para el control de accesos lógicos y fí sicos Paquetes de software de seguridad para el control de acceso Importancia de contar con seguridad en los sistemas operativos sistemas operativos Importancia de contar con seguridad en los sistemas operativos abiertos Soluciones para implementar niveles de seguridad en accesos lógicos Otros controles de acceso lógico 2.4 Conceptos básicos para implementar un esquema de seguridad en la red/web Técnicas criptográficas básicas Tipos de criptografí a Usos de la criptografí a Protocolos de seguridad para redes Seguridad que puede ser implementada en la red Firewall Kerberos Steganography 2.5 Otros aspectos importantes a tomar en cuenta relacionados con la seguridad CAPÍ TULO 3 Historias de accesos ilegales sobresalientes que han afectado la Seguridad Lógica 3.1 Antecedentes 3.2 Hackers y prackers famosos 3.3 Historia de páginas web modificadas en el ámbito internacional

4 3.3.1 ValuJet Airlines Yahoo Amazon e-bay Buy.com ZDnet Sabotaje de un empleado Asalto a la Moncloa Espectacular ataque a New York Times El CSIC dice no a la guerra El Columbia en llamas por un dí a Un autentico animal en la web de Greenpeace Apple e Intel se fusionan, según Macworld 3.4 Historia de páginas Web modificadas en el ámbito nacional Archivo Nacional de la Nación Centro de Computación Profesional de México CAPÍ TULO 4 Metodologí a de la Auditorí a a las Tecnologí as de Información y Procesos de Negocio 4.1 Definición de auditorí a, tipos y clases Tipos de auditorí a: Interna y Externa Personas que realizan la auditorí a: Auditorí a Interna y

5 Externa Clases de auditorí as: Operacional, Financiera, Integral y de Tecnologí as de Información y Procesos de Negocio 4.2 Metodologí a de Auditorí a a las Tecnologí as de Información y Procesos de Negocio Etapa de planeación interna con el equipo de trabajo Planeación con la organización que va a auditar, trabajo de campo, preparación y presentación del informe o reporte Planeación con la organización que se va a auditar Etapa de trabajo de campo Etapa de preparación y presentación del informe o reporte 4.3 Tipos de evidencia cuando se realiza una auditorí a Evidencia de auditorí a en un ambiente automatizado Fuentes para obtener evidencia Papeles de trabajo Porque usar muestreo estadí stico Tipos de muestreo Muestreo estadí stico Muestreo no-estadí stico 4.4 Técnicas de auditorí a asistidas por computadora CAPÍ TULO Elaboración y aplicación de un Programa de Trabajo para realizar una Auditorí a a al Seguridad Lógica

6 del Sistema Operativo AIX versión Comprensión general del negocio 5.2 Elaboración del Programa de Auditorí a Selección y Aplicación del Programa de Auditorí a 5.3 La razón del porque se auditó el sistema operativo AIX versión Alcance del programa 5.5 Objetivo 5.6 Ataques a los cuales se enfocó más el programa 5.7 Programa general para Auditar el Sistema Operativo AIX versión Programa detallado para auditar el Sistema Operativo AIX versión Resultado de la Auditorí a Reporte Ejecutivo Reporte Técnico CONCLUSIONES BIBLIOGRAFÍ A Glosario administrador de seguridad (security administrator) - Persona responsable de la implantación, monitoreo y seguimiento de las reglas de seguridad establecidas y autorizadas por la alta administración. amenaza (threat) - Una situación que podrí a dar lugar a que los medios de procesamiento de información o los datos, intencional o accidentalmente sufran pérdida, modificación, se vean expuestos a riesgos, queden inaccesibles, o se vean afectados de cualquier otra manera en forma perjudicial para la organización. Asociación de Auditorí a y Control de Sistemas de Información (The Information Systems Audit and Control Association - ISACA) - Es una Asociación de Auditorí a y Control de Sistemas de Información su sede esta en Chigago, Estados Unidos. La asociación es un lí der reconocido en el ámbito mundial en aspectos de Auditorí a y Control en Tecnologí a de Información. ataques así ncronos (asincronos attacks) - Son ataques indirectos contra programas, éstos alteran datos legí timos o códigos en el momento en que los programas están ociosos.

7 auditor (auditor) - Persona especializada que puede trabajar dentro o afuera de la organización a quien se le ha asignado la responsabilidad de desempeñar funciones propias de Auditorí a en Informática. auditorí a (audit) - Proviene del latí n auditorius que se refiere a todo aquel que tiene la virtud de oí r. Actividad consistente en emitir una opinión profesional sustentada en procedimientos, sobre si lo sometido a análisis (situación, actuación, manifestación, documentación, informe) refleja la realidad y cumple con las condiciones que le han sido preestablecidas. auditorí a a las tecnologí as de información y procesos de negocio (business processes and information technology auditing) - Es el proceso de evaluar y reportar que existan controles óptimos para asegurar que los activos relacionados a las Tecnologí as de Información (hardware, redes y telecomunicaciones y plataformas de software) y a los Procesos de Negocio (base de datos, sistemas en operación y sistemas de negocio) estén salvaguardados, que la integridad de datos esté protegida, que los sistemas cumplen con polí ticas, procedimientos, estándares, reglas, leyes y regulaciones. auditorí a externa (external auditing) - Es un examen formal e independiente de los estados financieros, sus registros, transacciones y operaciones, realizado por contadores profesionales para dar credibilidad a los estados financieros y otros informes de la gerencia, así como el asegurar un adecuado registro de las cuentas contables o identificar puntos débiles en los controles y sistemas internos. auditorí a financiera (financial audits) - Verificación de los estados contables, llevada a cabo por profesionales competentes; la verificación se hace mediante la aplicación de procedimientos y principios contables generalmente aceptados. auditorí a interna (internal auditing) - Actividad independiente para verificar, mediante el examen y evaluación de evidencia objetiva, si los procesos y elementos aplicables del sistema administrativo han sido desarrollados, documentados, implementados y mantenidos efectivamente. auditorí a operacional (operational audits) - Puede definirse como el examen o evaluación profesional de todas o una parte de las operaciones o actividades de cualquier entidad, para determinar su grado de eficacia y eficiencia y formular recomendaciones gerenciales para mejorar. autenticación (authentication) - Proceso de determinar si una persona o una empresa está autorizada para llevar a cabo una acción dada. Algunos sistemas de autenticación incluyen tanto identificación como autorización, mientras que otros solamente incluyen uno u otro. biometrí a (biometric) - Técnica de seguridad la cual verifica la identidad de un individuo por medio de atributos fí sicos únicos, tales como, el reconocimiento de voz, la palma de la mano y el iris del ojo, entre otros. bomba lógica (logical bomb) - Programa de computadora que se activa bajo ciertas condiciones especí ficas de acuerdo a los requerimientos establecidos por los programadores. Las condiciones que la activan pueden ser una combinación de fecha y hora. Cuando se activa hace luego copias de sí misma "explotando" hasta que bloquee todo el sistema. caballo de troya (trojan horse) - Es un programa que puede realizar una función útil, pero también puede realizar una acción inesperada es una forma de virus, es decir es un programa malévolo que se esconde dentro de un programa amistoso o simula la identidad de un programa con caracterí sticas legí timos mientras que realmente causa daño en los sistemas. Este método puede ser particularmente difí cil de detectar puesto que aparentan ser programas legí timos y útiles pero en realidad no lo son. contraseña (password) - Cadena de caracteres que sirven para autenticación del usuario.

8 controles preventivos (preventive controls) - Diseñados para prevenir o restringir un error, omisión o instrucción no autorizada. control (control) - Medidas que se toman para garantizar la integridad y la calidad de un proceso. Consiste en verificar si todo ocurre de conformidad con el plan adoptado, con las instrucciones emitidas y principios establecidos. Tiene como fin señalar las debilidades y errores a fin de rectificarlos e impedir que se produzcan nuevamente. control de acceso (access control) - Procesos que limitan y controlan los accesos a los recursos computacionales. control de acceso fí sico (physical access control) - Interpone barreras fí sicas entre las personas no autorizadas y el medio de información que protegen. control de acceso lógico (logical access control) - Emplea medios no fí sicos, tales como; contraseñas, con el fin de proteger los recursos computacionales. control dual (dual control) - Método destinado a preservar la integridad de un proceso. Requiere que dos personas independientemente realicen algunas funciones antes de completar determinadas transacciones. Siempre que se requiera control dual, ambas personas deben tener sumo cuidado de actuar en forma independiente una de la otra. controles preventivos ( preventive controls) - Diseñados para prevenir o restringir un error, omisión o intrusión no autorizada. Son diseñados para que antes o durante el ingreso a cualquier medio computarizado sean rechazados. controles detectives (detective controls) - Han sido diseñados previamente y estos detectan o reportan cuando existen errores, omisiones de usuarios no autorizados. cortafuegos (firewalls) ) - Dispositivo que monitoriza las conexiones de la red a fin de evitar que intrusos desde el exterior puedan entrar a los servidores. cracker (cracker) - Persona que se dedica a entrar a las redes de forma no autorizada o ilegal, para conseguir información o romper las conexiones de las redes con fines destructivos. criptografí a (cryptography) - Proceso matemático que se utiliza para transformar información de un texto legible (texto claro) a un texto ilegible (texto cifrado). destrucción de la información (destruction of information) - Método que reduce la información a un estado en el cual no se pueda utilizar. dictamen de auditorí a (opinion of audit.) - Opinión o juicio que se forma y emite sobre algo, especialmente el trabajo lo realiza un especialista. divulgación de información (disclosure of information) - Cualquier situación en la cual se trasfiere, comunica o se permite acceso a otra persona o entidad a información. e-comercio (e-commerce) - Sistema de compra/venta de bienes y servicios a través de la Red (Web). e-móvil (e-movil) - Sistema de compra/venta de bienes y servicios a través de teléfonos o agendas electrónicas (PALM). encripción o encriptación (encryption) - Proceso de convertir información a forma no legible. El uso de la encripción o encriptación protege la información contra la divulgación no autorizada entre el proceso de cifrado y descifrado. exposición (exposure) - Condición no deseable. firma digital (digital signature) - Equivalente práctico a una firma fí sica en un documento. Un medio digital que posea una firma digital es considerado como legal. ingenierí a social (social engineering) - Se refiere a la capacidad que tiene una persona de utilizar otra personalidad. La persona adquiere conocimientos y habilidades sociales para robar información relacionada a los sistemas computacionales. gusano (worm) - Programa independiente que se duplica por si mismo trasmitiéndose de un equipo

9 a otro a través de las conexiones de red. hacker (hacker) - Individuos quienes obtienen maliciosamente accesos no autorizados a los recursos computacionales. identificación de usuario (user identification) - Cadena de caracteres que se utiliza para identificar en forma única e individual a cada usuario que ingresa a los recursos computacionales. información (information) - Acción y resultado de informar o informarse, así como tambien es un conjunto de datos sobre una materia determinada. integridad (integrity) - Totalidad, plenitud o rectitud. internet (internet) - Red global que conecta miles de millones de computadoras con direcciones únicas, con la finalidad del intercambio de información. impersonalización (impersonalization) - Proceso donde una persona asume la identidad de otra. muestreo de atributos (attribute sampling) - Técnica de muestreo usada en auditorí a, esta técnica permite seleccionar datos de una población. El propósito de prueba se basa en una selección para que todos los datos tengan ciertos atributos o caracterí sticas de ser seleccionados. muestreo de variables (variable sampling) - Técnica de muestro usado para estimar la media o el valor total de la población basada en la muestra. muestreo estadí stico (statistical sampling) - Método para seleccionar una muestra de una población, se basa en cálculos matemáticos y probabilidades, con el propósito de dar validez matemática y cientí fica a la muestra de una población entera. necesidad de información (need-to-know) - Concepto de seguridad, que limita el acceso a la información y a los medios de procesamiento de datos. Es la información básica requerida para que la persona pueda realizar sus funciones. negación de servicio (denial of service) - Acciones que impiden que un sistema o red funcione correctamente. La negación de servicio se produce cuando un sistema o el servidor es saturado con solicitudes no legitimas, haciendo imposible responder a solicitudes o tareas reales. no asegurado o no protegido (unsecured) - Situación en que las personas no autorizadas o desconocidas pueden obtener acceso a los sistemas o a datos. objetivo de control (control objective) - Son usados como marco de referencia para el desarrollo e implementación de controles. Objetivos de Control de Información Relacionados a la Tecnologí a (Control Objectives for Information and Related Technology - COBIT) - Han sido desarrollados como estándares generalmente aplicables y aceptados para mejorar las prácticas de control y seguridad de las Tecnologí as de Información (TI) que provean un marco de referencia para la administración, usuarios y auditores. norma (norm) - Documento establecido por consenso y aprobado por un organismo reconocido, que suministra para uso común y repetido, reglas, lineamientos o caracterí sticas y se toma como base para la realización de actividades. password cracking (password cracking) - Técnica usada para ganar sorpresivamente acceso a los sistemas usando cuentas del usuario no legitimas. perí metro de control (control perimeter) - Lí mites que definen el alcance de una autoridad de control. pista de auditorí a (audit trail ) - Evidencia que se inserta dentro de los programas originales y se les pide ciertos criterios de selección (controles riesgosos), para que sean incluidos en reportes ya sea impresos o por pantalla. Los reportes se utilizan para determinar si ha ocurrido algún uso no autorizado o algún intento de utilizar los recursos computarizados de forma no autorizada. piggybacking (piggybacking) - Método para ingresar a áreas de acceso controladas; puede ocurrir en un sistema en lí nea donde se están utilizando terminales y la identificación es verificada

10 automáticamente por el sistema, cuando se ha activado una terminal la computadora autoriza el acceso, generalmente con base a una identificación del usuario y un passwords. programa de auditorí a (audit program) - Conjunto de instrucciones y procedimientos paso a paso que deben ser ejecutados para completar una auditorí a. pruebas de cumplimiento (compliance testing) - Su objetivo es determinar si los controles internos han sido cumplidos de acuerdo a lo que ha establecido la administración; éstas pruebas son usadas para determinar si los controles internos existen y si están trabajando efectiva y eficientemente. pruebas sustantivas (sustantive testing) - Su objetivo es verificar a nivel de registros los controles internos. La pruebas sustantivas deben ser limitadas cuando el resultado de la evaluación de riesgos es bajo e incrementadas cuando el nivel de riesgo es alto. red (network) - Conjunto de computadoras conectados entre sí con el fin de compartir datos, información y recursos computacionales. revelación (disclosure) - Ataque que se lleva a cabo cuando un individuo logra acceder a información para la cual no se le ha otorgado acceso explí cito. riesgo (risk) - Probabilidad de que un evento desfavorable ocurra y pueda llevar a pérdidas financieras, mala imagen para clientes, accionistas, instituciones bancarias o proveedores. riesgo de auditorí a (audit risk) - Probabilidad de sufrir una pérdida debido a la incidencia de una o más amenazas que pueden afectar la información. riesgo de control (control risk) - Probabilidad que la información y los reportes contengan errores materiales y que aplicando las pruebas de cumplimiento no se hayan detectado. riesgo de detección (detection risk) - Probabilidad de que las pruebas que fueron realizadas por el auditor de Sistemas de Información, no detecten un error que pudiera materializarse ya sea individualmente o en combinación con otros errores. riesgo del negocio (business risk) - Probabilidad de impactar a los negocios o servicios y que no puede ser controlado ya que lo determina el medio ambiente, puede ser riegos financieros, contables, de impuestos o de control. servidor (server) - Una computadora que actúa en calidad de proveedor de algún servicio a otras computadoras, por ejemplo, procesamiento de comunicaciones, interfaz con los medios de almacenamiento de archivos o medios de impresión. sistema operativo (operating system) - Programa de control maestro que puede administrar los trabajos de la computadora. sistemas de contraseñas dinámicas (dynamic password systems) - Sistema que verifica la identidad de una persona utilizando dispositivos que generan nuevas contraseñas en cada sesión. Estos sistemas autentican a la persona utilizando algo que la persona tiene o algo que la persona sabe, por ejemplo, certificados digitales, tarjetas fí sicas o indicadores biométricos. smurfing (smurfing) - Ataque de negación de servicio por el cual un programa automatizado ataca una red y aprovecha una dirección difundida por el protocolo de Internet (IP). sniffer (sniffer) - Programa que captura paquetes de datos que pasan por un servidor como bitácoras y contraseñas. Se usan herramientas de monitoreo de red que capturan paquetes de datos y decodifican éstos usando protocolos comunes. software de auditorí a generalizado (generalized audit software) - Sistema con propósitos múltiples, este sistema puede ser usado para seleccionar registros, hacer recálculos, sumarizaciones y reportes, entre otros. software antivirus (anti-virus software) - Herramienta que examina un sistema o una red en busca de virus y elimina los que encuentre. La mayorí a del software de antivirus tiene caracterí sticas que permiten descargar perfiles de nuevos virus para que pueden buscar nuevos virus tan pronto como se descubran. software de seguridad (security software) - Se usa para administrar la seguridad lógica, usualmente

11 incluye autentificación de usuarios, accesos acorde a las reglas predefinidas, monitoreo y funciones de reportes. spoofing (spoofing) - Lograr la conexión a un servidor de cualquier manera y dañar los recursos computacionales. Una técnica usada para reducir el servicio de la red especialmente en redes de área amplia. spyware (spyware) - Imitación de la dirección del remitente o incluso hacerse pasar por un usuario autorizado en un intento por obtener la entrada ilegal a un sistema seguro. steganography (steganography) - Práctica de ocultar información dentro de otra información. superzapping (superzapping) - Uso no autorizado de programas utilitarios para modificar, destruir, copiar, divulgar, insertar, utilizar o negar datos. Es un programa utilitario poderoso que puede violar los controles de seguridad. tarjeta inteligente (smart card) - Tiene integrado un chip, permite autentificar al usuario, se pueden realizar transacciones y actualizar información. técnicas de auditorí a asistidas por computadora (computer assisted audit technique -CAAT) - Generadores de pruebas de datos, programas de auditorí a computarizado y utilitarios de auditoria especializado para verificar los datos. técnica del salami (salami technique) - Robar pequeñas cantidades de dinero y ser depositados a la cuenta del perpetrador. trap door (trap door) - Permite a un usuario tener acceso a sistemas que estén funcionando y que éstos le han sido autorizados. Estos privilegios de acceso se pueden obtener con una condición del teclado fácilmente. The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO)- The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO). Publicado en 1992 hace recomendaciones a los contables de gestión de cómo evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información, comunicación y monitoreo. verificar (to verify) - Comprobar la verdad o autenticidad de algo. virus (virus) - Programa que puede "infectar" o "contaminar" otros programas al modificarlos para incluir una copia de si mismo. El código viral es tí picamente malicioso y perjudicial para la integridad de la información o del sistema. vulnerabilidades (vulnerabilities) - Debilidades en los recursos computacionales que son explotados en caminos diferentes y pueden llegar a afectar la polí tica de seguridad. web defacing (web defacing) - Forma popular de ataque de los hackers, en donde el hacker entra ilegalmente en los web site de las organizaciones y cambia los contenidos de las páginas. wiretapping (wiretapping) - Escuchar o interceptar una conversación ví a telefónica durante la transmisión de mensajes o información. Relación de cuadros, gráficas e ilustraciones Pág.. Lista de cuadros Cuadro 1.1 Categorización global del riesgo Cuadro 1.2 Estándares de auditorí a de sistemas de información Cuadro 2.1 Esquema para ingresar a los recursos computacionales Cuadro 2.2 Maneras más comunes de cómo las contraseñas pueden ser divulgadas Cuadro 4.1 Muestreo estadí stico y no-estadí stico

12 Cuadro 4.2 Definiciones del muestreo estadí stico Cuadro 4.3 Ejemplos del uso de técnicas asistidas por computadora Lista de gráficas Gráfica 1.1 División de tecnologí a computacional Gráfica 1.2 Procesos clave relacionados al marco de trabajo Gráfica 1.3 Clasificación de control Gráfica 1.4 Clasificación de riesgos de integridad Gráfica 2.1 Personas internas o externas que pueden dañar los recursos computacionales Gráfica 2.2 Métodos más usados tanto por personal interno como externo para atacar los recursos computacionales Gráfica 2.3 Propuesta de Arquitectura de Seguridad Lógica Gráfica 2.4 Propuesta de Arquitectura de Seguridad Lógica Técnica Gráfica 2.5 Medios básicos y cruciales para proteger la seguridad de los recursos informáticos Gráfica 2.6 Tipos de llaves criptográficas Gráfica 4.1 Preguntas clave de auditorí a Gráfica 4.2 Como se debe planear una auditorí a Gráfica 4.3 Como se debe llevar a cabo una auditorí a Gráfica 4.4 Como se deben de reportar los resultados de una auditorí a Gráfica 5.1 Pasos para elaborar un programa de trabajo Lista de ilustraciones Ilustración 3.1 Robert Tappan Morris Ilustración 3.2 Vladimir Levin Ilustración 3.3 Kevin Mitnick

13 METODOLOGÍ A DE LA AUDITORÍ A A LA SEGURIDAD LÓGICA DEL SISTEMA OPERATIVO AIX VERSIÓN 4.2 RESUMEN La pérdida de imagen, dinero, clientes o hasta la ruina financiera y económica de algunas organizaciones, en gran medida puede producirse por una débil arquitectura de seguridad o a un mal diseño de la misma. Un problema frecuente es que no existe en las organizaciones un esquema de seguridad lógica óptimo o si existe no esta adecuadamente definido y actualizado para que puedan contrarrestarse los diferentes ataques tanto por personal interno como externo. Otro problema de Seguridad Lógica, es cuando se cambia o actualiza el sistema operativo, la mayorí a de las veces no es adecuadamente parametrizado de acuerdo a las necesidades de la organización; lo cual crea tremendos retos para los accionistas, directores de las organizaciones, gerentes y los profesionales que están involucrados en las Tecnologí as de Información (TI) y los Procesos de Negocio (PN). Teniendo en cuenta los cambios tecnológicos tan rápidos en TI y PN y la problemática anteriormente descrita, se ha desarrollado esta tesis con el nombre de METODOLOGÍA DE LA AUDITORÍA A LA SEGURIDAD LÓGICA DEL SISTEMA OPERATIVO AIX VERSIÓN 4.2 La base de este proyecto fue una exhaustiva investigación bibliográfica. Asimismo, como caso práctico se investigó, elaboró, diseñó y se aplicó un programa de trabajo de Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2 en una organización real. Para llevar acabo la auditorí a se integró un equipo de trabajo con personal del área de Auditorí a a las TI y PN y el área de Informática de la organización (interno), así como el personal técnico de IBM (externo). La justificación de este proyecto está basada en que la mayorí a de las organizaciones nacionales y trasnacionales (pequeñas, medianas y grandes) que posean Sistemas de TI y PN, deben someterse a auditorias para que se evalué el nivel de su Seguridad Lógica en sus sistemas operativos ya que el éxito de una empresa depende de la eficiencia de su información. DE PREINSCRIPCIÓN El objetivo general de esta investigación es el análisis, diseño de una metodologí a de auditorí a para ser aplicada al programa de trabajo propuesto a una Auditorí a a Seguridad Lógica del Sistema Operativo AIX versión 4.2. La tesis se encuentra dividida en 5 capí tulos, de los cuales los capí tulos 1 y 2 contemplan el marco teórico que corresponden a la Teorí a básica de Auditorí a a las TI y PN y se presentan los Fundamentos de Seguridad Lógica para minimizar los riesgos en las Organizaciones. En el capí tulo 3 se describen algunas de las historias de accesos ilegales sobresalientes que han afectado la Seguridad Lógica; en el capí tulo 4 se muestra la metodologí a de auditorí a a las TI y PN propuesta y en el capí tulo 5 se describe como se diseñó, aplicó y validó un Programa de Trabajo para realizar una Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2, posteriormente se obtuvieron los resultados y fue elaborado el reporte de auditorí a correspondiente. Al final se muestran las conclusiones obtenidas y la bibliografí a utilizada Las limitaciones del estudio de esta tesis es que no contempla la teorí a sobre Seguridad Fí sica y es de suma importancia comprenderla y aplicar los puntos de control cuando se realiza una auditorí a a cualquier componente (hardware, redes y telecomunicaciones, software de sistemas, bases de datos, sistemas en aplicación, sistemas de negocio). Cabe mencionar que el ámbito de la auditorí a a las TI y PN es tan amplio que se pueden auditar algunas de las áreas o componentes pero no todos. Por lo que se recomienda que sea seleccionado el componente según el juicio del ente auditado o el tenga más riesgo. Para efectos de esta tesis solo fue seleccionado el componente del

14 sistema operativo AIX versión 4.2. AUDIT METHODOLOGY TO THE LOGICAL COMPUTER SECURITY OF THE OPERATING SYSTEM AIX VERSION 4.2 SUMMARY The loss of image, money, clients, or the economic and financial ruin of some businesses, in great measure can be produced by a weak architecture of logical computer security or to a bad design of the same one. Is that there is not an optimal scheme of logical computer security in the organizations. If that is, it is not adequately defined or updated so as to counteract the different attacks done not only by internal personnel, but also by external personnel. Another frequent problem of logical computer security, is when the operating system changed or updated. Most of the time it is not adequately arranged according to the needs of the organization and this creates tremendous challenges for the shareholders, businesses directors, managers and professionals involved in the Information Technology (IT) and Business Process (BP). Keeping that in mind, the quick technological changes in IT and BP and the problems previously described, are the subject of this thesis: AUDIT METHODOLOGY TO THE LOGICAL COMPUTER SECURITY OF THE OPERATING SYSTEM AIX VERSION 4.2 The base of this project was an exhaustive bibliographical investigation. Likewise as a practical case, an audit work program to the Logical Security of the Operating System AIX 4.2 in a real business was investigated, devised, designated and applied. In order to finish the audit, a team worked with personnel from the audit area and from the area of data processing, a personnel from IBM techical support was integrated and the evaluation was carried out. The justification of this project is based on the fact that the majority of the national and transnational businesses (small, medium and large) which possess TI and BP, should be submitted to audit so that way the level of their logical computer security in their operating systems could be evaluated. The success of a business depends on the efficiency of their information. The general objective of this research is the analysis and design of an audit methodology to be applied to a case study on the logical computer security of the Operating System AIX version 4.2. The thesis is divided into 5 chapters, from which chapters 1 and 2 contemplate the theoretical framework that correspond to the basic theory of audit to the IT and BP and presents theory on Logical Security that allows organizations to minimize their risks. In the Chapter 3 presents the outstanding illegality of access stories that have affected logical computer security. In chapter 4 is shown the audit methodology to the IT and BP proposed. Chapter 5 describe the way a work program was designed and applied to the Logical Security of the Operating System AIX version 4.2. Subsequently the results were obtained and the corresponding report of audit was elaborated. In the end, conclusions obtained and the bibliography used are showed. The limitations of the study of this thesis are that it does not contemplate the theory on Physical Security and that it s highly important to understand and apply the control points when an audit component is carried out to any component (hardware, networks and telecommunications, software of systems, data bases, application systems, business systems). It is important to mention also that due to the extensiveness of audit to the IT and PB environment some of the areas or components could be audited as needed. Therefore it is recommended to select the component be selected according to the judgment of the entity audited or the higher risks. For the proposes of this thesis, only the component of the operating system AIX version 4.2 was selected.

15 1 Introducción La pérdida de imagen, dinero, clientes o hasta la ruina financiera y económica de algunas organizaciones, en gran medida se debe por una débil arquitectura de seguridad o un mal diseño de la misma creando verdaderos retos para los accionistas, directores de organizaciones, gerentes y todo aquel profesional que esté involucrado en las Tecnologí as de Información (TI) y los Procesos de Negocio (PN). A finales del siglo XX y a principios del XXI emergieron diferentes corrientes sobre las Tecnologí as de Información y de Procesos de Negocio, como son: las computadoras inalámbricas, sistemas operativos abiertos, sistemas cliente servidor, el Internet 2, así como el mundo de los e- Business, e-commerce, e-learning, e-health, e-voting, e-government, e-móvil, entre otros. Por otro lado, los diferentes sistemas emiten información y se considera que es el activo más importante que poseen tanto las organizaciones como los individuos, la información debe ser confiable, oportuna e í ntegra, así que las corrientes que están emergiendo en las TI y PN como la protección de la información necesita fuertes esquemas de seguridad lógica. Teniendo en cuenta los cambios tecnológicos tan rápidos y anteriormente descritos, se ha desarrollado esta tesis con el nombre de METODOLOGÍA DE LA AUDITORÍA A LA SEGURIDAD LÓGICA DEL SISTEMA OPERATIVO AIX VERSIÓN 4.2 El proyecto se basó en una exhaustiva investigación bibliográfica, para el caso práctico se investigó, elaboró, diseñó y aplicó un programa de trabajo de Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2 en una organización real. Para llevar acabo la auditorí a se integró un equipo de trabajo con personal del área de Auditorí a a las TI y PN, el área de Informática de la misma organización y personal técnico de IBM. Planteamiento del Problema Un problema frecuente es que no existe en las organizaciones un esquema de seguridad lógica óptimo; o si existe no esta definido adecuadamente o actualizada oportunamente para contrarrestar los diferentes ataques; tanto por personal interno como externo. Otro problema es, que cuando se instala por primera vez o actualiza el sistema operativo la mayorí a de las veces no sé parametriza de acuerdo a las necesidades de la organización, asimismo, para el mantenimiento (alta, baja y cambio de usuarios, entre otros) no se realiza de manera oportuna. 2 Antecedentes - La Auditorí a en Sistemas o en Informática ahora llamada Auditorí a a las Tecnologí as de Información y Procesos de Negocio, debió haber surgido desde que las computadoras y los sistemas que soportaban las operaciones se empezaron a utilizar por primera vez (Primera generación de computadoras ) en las diferentes organizaciones, pero esta disciplina empezó a ser reconocida en nuestro paí s en la década de los 80s, cuando las computadoras de la cuarta generación ya tení an algunos años de haber sido utilizadas. Las computadoras de la cuarta generación que fueron comercializadas desde el año de 1971 ya contaban con microprocesadores, chips de memoria y miniaturización y se podí an clasificar en supercomputadoras, minicomputadoras y microcomputadoras. Las organizaciones del sector privado y público soportaban sus operaciones del negocio -producción, inventarios, recursos humanos, nóminas, ventas, compras, entre otros- a través de éstas, por lo que la disciplina de Auditorí a a las Tecnologí as de Información y Procesos de Negocio se tornó necesaria. Después, siguió el lápiz óptico, tableta digitalizadora, reconocimiento de voz, pantallas sensibles al tacto, scanners, diferentes sistemas operativos, múltiples lenguajes de programación, así como diferentes tipos de software de uso general que tienen integrados todos los módulos de negocio de las organizaciones (finanzas, contabilidad, recursos humanos, nóminas, producción, inventarios, transferencias bancarias, etc.) entre los que se encuentran, JDEdwars, SAP que son denominados como ERP s. (Enterprise Resource Planning). En el año de 1993 el fí sico Tim Berners-Lee de la organización Conseil Européen pour la Recherche Nucleaire (CERN) - Laboratorio Europeo para la Fí sica de las Partí culas - inventó la World Wide Web (WEB). Éste descubrimiento trajo consigo una forma diferente de interconexión de servidores y por lo tanto una manera diferente de hacer negocios

16 en lí nea. La nueva forma de operar en las organizaciones, tanto por ví a WEB como de la manera tradicional, hacen que el auditor en las Tecnologí as de Información y Procesos de Negocio juegue un papel relevante, ya que una de sus tareas principales es la evaluación de controles de los accesos a los recursos computacionales como son al hardware, redes y telecomunicaciones, software de sistemas, bases de datos, sistemas que soportan las operaciones de los negocios y sistemas para la toma de decisiones. Con base a está evaluación se puedan minimizar los riesgos evitando que los recursos sean destruidos, alterados, consultados o modificados por personas internas o externas. 3 Justificación Por lo tanto las organizaciones nacionales y trasnacionales (pequeñas, medianas y grandes) que posean Sistemas de Tecnologí as de Información y Procesos de Negocio, deben de someterse a evaluaciones para determinar el nivel de Seguridad Lógica en sus sistemas operativos. Ya que la mayorí a de las organizaciones tienen su información en sistemas computacionales, de aquí, la vital importancia de que los sistemas de información cuenten con medidas de seguridad adecuadas. El éxito de una organización depende de la eficiencia de sus sistemas, una organización puede tener un staff de gente de primera, pero si tiene un sistema informático sin medidas de seguridad lógica mí nimas y si voluntaria o involuntariamente sufre un ataque a sus recursos computacionales, esto le puede ocasionar pérdida de imagen, dinero, clientes y hasta llevarla a la ruina financiera; a la organización le constará más trabajo salir adelante o quizá nunca saldrá. Objetivos planteados Objetivo general Diseño de un programa para aplicar la Metodologí a de la Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2. Objetivos especí ficos Estudiar y comprender el perí metro de seguridad lógica Comprender el área o componente que se va auditar Analizar y tomar decisiones para determinar que puntos van a ser considerados en el programa de estudio Seleccionar los procedimientos de auditorí a Elaborar el programa de auditorí a Aplicar el programa y obtener los resultados Presentar el esquema sobre una Arquitectura de Seguridad Lógica para que las organizaciones puedan minimizar sur riesgos. Alcance y limitaciones del Estudio - Los capí tulos 1 y 4 corresponden a la Teorí a sobre la Auditorí a a las TI y PN y a la Metodologí a propuesta, éstos capí tulos son fundamentales y se recomienda que sean estudiados y comprendidos antes de iniciar una Auditorí a. Cabe aclarar, que la tesis no contempla teorí a sobre Seguridad Fí sica y que es de suma importancia de comprenderla cuando se realiza una evaluación. Debido a que es tan amplio el ámbito del auditor ya que puede evaluar hardware, redes y telecomunicaciones, sistemas operativos, plataformas de software de 4 sistemas, bases de datos, sistemas que soportan las operaciones del negocio y sistemas para la toma de decisiones, entre otros componentes o áreas, se pueden auditar algunos pero no todos a la vez, por lo que se recomienda seleccionar aquel componte o área que tenga mayor riesgo. Cabe enfatizar que en esta tesis solo se va a explicar como se puede auditar el Sistema Operativo AIX versión 4.2 desde el punto de vista de seguridad Lógica. Resumen de los capí tulos El CAPÍTULO 1 hace alusión a la Teorí a sobre la Auditorí a a las Tecnologí a de Información (TI) y Procesos de Negocio (PN) enfatizando en la estructura, planeación estratégica, táctica, operacional y marco de trabajo así como también se detallan conceptos sobre el control interno, riesgos y exposiciones, código de ética, estándares de auditoria, normas y procedimientos de organismos que están regulando la función, entre otros aspectos de importancia.

17 El CAPÍTULO 2 comenta sobre los Fundamentos de Seguridad Lógica para minimizar los riesgos en las Organizaciones, poniendo énfasis en definiciones de seguridad lógica, amenazas humanos y métodos comunes a que están expuestos los recursos computacionales, propuesta de arquitectura de seguridad para que las organizaciones puedan minimizar sus riesgos, conceptos básicos para implementar un esquema de seguridad en la red, entre otros aspectos. En el CAPÍTULO 3 se presentan historias de accesos ilegales sobresalientes que han afectado la seguridad lógica, poniendo atención especial en los antecedentes, hackers y prackers famosos, historias de páginas web modificadas en el ámbito internacional y nacional. El CAPÍTULO 4 describe la Metodologí a de la Auditorí a a las TI y PN, donde se detallan las definiciones, tipos y clases, metodologí a propuesta de auditorí a a las TI y PN, tipos de evidencia, así como las técnicas asistidas por computadora más usadas. Por último, el CAPÍTULO 5 contempla los pasos a seguir para la elaboración y aplicación de un Programa de Trabajo de Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2 poniendo énfasis entre otros aspectos, en la comprensión general del negocio, elaboración del programa de auditorí a, la razón del porqué se auditó el sistema operativo AIX versión 4.2, alcance del programa, objetivo y los ataques a los cuales se enfocó más la revisión, así como también se presenta 5 el programa general y detallado para verificar la seguridad lógica del sistema operativo AIX versión 4.2 y los resultados de la evaluación a través de un informe ejecutivo y otro técnico. Finalmente se incluyen las conclusiones que contestan a los objetivos planteados, las referencias bibliográficas utilizadas y las páginas web consultadas para la realización de esta tesis. Nota: Para no repetir la palabra en el transcurso de la tesis de Tecnologí as de Información y Procesos de Negocio cuando se utilicen estos términos se identificaran como TI y PN. 6 7 CAPÍTULO Teorí a sobre la Auditorí a a las Tecnologí as de Información y Procesos de Negocio Posiblemente lo más importante que las organizaciones deben entender hoy en dí a, es que no es la era Industrial, sino la era de la información y del conocimiento, por lo tanto, el cliente juega un papel importante. El consumidor más que nunca tiene acceso a más información; incluso se podrí a hablar de que nos estamos acercando a mercados perfectos y por tanto se debe estar consciente del valor de la información que se genera a través de los sistemas computacionales, ya que ésta puede agruparse con otros consumidores con el fin de conseguir mejores precios en el mercado o incluso para forzar el desarrollo de nuevos productos que mejoren la oferta estándar de los proveedores. Tratar a este tipo de cliente es distinto de tratar al cliente que tiene que adaptarse a una oferta que se presenta en lugares geográficos especí ficos como; tiendas, supermercados, hipermercados, entre otros sitios. El juego no consiste sólo en que las organizaciones deben conseguir la fidelidad de sus clientes, sino que para venderles algo deben demostrarles un alto poder de servicio y además deben hacerlo las 24 horas del dí a. Para realizar las ventas ví a Internet (e-business e-commerce) o por teléfono móvil (e-movil) los clientes alrededor del mundo están a sólo un clic de distancia para realizar las transacciones, lo importante para las organizaciones es retener a los clientes, quienes buscarán a aquellos que les den soluciones de negocio que les aporten verdadero valor agregado, a aquellas que se ganen su confianza a través de soluciones claras y cuanto más personalizadas mejor; lo anterior,

18 hace que se deba siempre mantener un nivel alto de seguridad lógica en las organizaciones. Para llegar a lograr un nivel alto, primero se va a describir en términos generales que es la Estructura de las Tecnologí as de Información y Procesos de Negocio y otros conceptos relacionados, como: control interno, riesgos y exposiciones, asociaciones de auditorí a y control de tecnologí a de información, estándares, organismos internacionales, así como los objetivos de control de información relacionados a la tecnologí a, entre otros aspectos de relevancia. 1.1 Estructura de las Tecnologí as de Información y Procesos de Negocio 10 Para que una organización pueda operar en forma efectiva se sugiere que se segmente en dos grandes divisiones; una netamente tecnológica y otra para dar soporte a los negocios; éstas deben estar relacionadas entre sí. A la parte tecnológica se le dominará como Tecnologí a de Información y a la parte de soporte a los negocios como Procesos de Negocio.1 La Tecnologí a de Información incluye: hardware, redes y telecomunicaciones, plataformas de sistemas operativos y plataformas de software de sistemas y la de Procesos de Negocio incluye: bases de datos, sistemas que soportan las operaciones del negocio y sistemas para la toma de decisiones. A continuación se presenta la gráfica donde se muestran las diferentes capas de las TI y PN. Gráfica 1.1 División de la tecnología computacional Las 6 capas son el pilar de la Informática en cualquier organización. Para que cada capa esté dando los resultados deseados se necesitan 3 elementos relacionados a la seguridad lógica, éstas son: Definir estrategias y polí ticas, monitoreo de eventos, y proporcionar soluciones tecnológicas. En párrafos posteriores donde se describe el marco de trabajo se explicaran éstos elementos. 1.2 Planeación estraté gica, táctica y operacional Todas las organizaciones deben contar con 3 tipos de planeación: estratégica, táctica y operacional. Cabe hacer mención que los 3 tipos de planeación deben estar alineados a los objetivos de la organización Global Best Practices Arthur Consulting, p.8-10 Pla ta fo rmas d e sistema s o p e ra tiv o s Pla ta fo rma d e hardw a re, red e s y te lec om. Pla ta fo rmas d e so ftwa re d e s is tem a s Man e ja d o re s d e b as e s d e d a to s S istem as q u e s o p o rta n la s o p e ra c io n es d e l n eg o c io S istem as p ara la toma d e d e c is io n e s Pro c e so s d e Ne g o c io T ec n o lo g ía d e In fo rmac ió n 11 Planeación Estratégica es donde se definen la misión, visión y objetivos a largo plazo de la organización. Se recomienda que participen los ejecutivos de primer nivel así como los accionistas para que definan en conjunto el rumbo de la organización. Se recomienda tener una proyección estratégica de cinco a diez años. Planeación Táctica es donde se transmite a los directores y gerentes de área la misión, visión y objetivos que se han establecido a largo plazo y con base en éstos se deben definir los objetivos a mediano plazo para que puedan adecuarse a las áreas del negocio. Los objetivos por área se deben planear para ser cumplidos en un lapso de uno a cinco años. Planeación Operacional es donde se transmite a los supervisores o jefes de área los planes a mediano plazo para que con base a éstos ellos definan los objetivos a corto plazo con el personal operativo. Los objetivos por departamento se deben planear para cumplirse en un lapso de una semana a un año. Una vez que es definida la planeación estratégica, técnica y operacional y para que el área de TI y PN pueda operar se debe elaborar un documento que debe soportar el marco de trabajo. En la siguiente gráfica se muestra lo que debe de contener el documento de marco de trabajo. Marco de trabajo Actividades Conjunto de Tareas Estrategias y Polí ticas

19 Monitoreo de Eventos Soluciones Tecnológicas Las 6 áreas deben de contar con un óptimo Esquema de Seguridad Gráfica 1.2 Procesos clave relacionados al marco de trabajo 12 El marco de trabajo de un área de TI y PN requiere una serie de actividades, las cuales deben estar relacionadas con un conjunto de tareas, pero para que sé realicen correctamente se necesita que sean conocidos y aplicados por todo el personal de la organización. Por lo que se recomienda que se establezcan las siguientes actividades. Estrategias y polí ticas. Son indispensables para mantener el control en las organizaciones. Las estrategias son acciones orientadas al medio ambiente externo. Las polí ticas están alineadas a las estrategias y generalmente se orientan al interior de la organización. Monitoreo de eventos. Procesos reactivos que son capaces de medir y administrar situaciones; también pueden monitorear polí ticas que fueron implantadas y como se han seguido. Con el monitoreo de eventos se puede identificar cuando las polí ticas necesiten cambiarse, eliminarse o la elaboración de nuevas polí ticas. Soluciones tecnológicas. Las tecnologí as necesitan proveer protección apropiada y soporte tanto a procesos crí ticos como no crí ticos, así como al hardware. En resumen, las 6 capas presentadas anteriormente pueden ser sujetas a una auditorí a. Siendo tan amplio el campo de acción por los Auditores en TI y PN, se ha forzado a la mayorí a de las organizaciones a repensar sus necesidades de seguridad lógica para que sus recursos computacionales estén protegidos. Por ejemplo, el deseo de tener accesos abiertos de información como es el caso de e- Business puede incrementar robos dentro y fuera de la organización. Este conflicto no puede resolverse fácilmente usando conceptos y prácticas de seguridad lógica tradicional. Esto requiere un estudio detallado de los riesgos del negocio con una combinación de técnicas de seguridad lógica actuales y aplicables. Este es uno de tantos problemas que enfrentan las organizaciones. Para las personas interesadas en auditorí a en TI y PN no experimentadas es conveniente que conozcan las definiciones que se presentan a continuación Definiciones de polí ticas, estándares, normas, procedimientos y estrategias Polí ticas: Son documentos breves relacionados a las TI y PN; proporcionan la autoridad necesaria para establecer estándares en ejecución y darles solución especifica. En general, las polí ticas 13 siguen siendo relevantes y aplicables por un perí odo del tiempo substancial y requieren revisiones periódicas2 Estándares: Deben estar relacionados a las TI y PN o de alguna solución especí fica y proporcionan criterios más medibles para satisfacer los objetivos de alto nivel definidos por las polí ticas.3 Normas: Documento establecido por consenso y aprobado por un organismo reconocido, que suministra para uso común y repetido reglas, lineamientos o actividades, con el propósito de alcanzar el grado óptimo de orden en un contexto dado. Procedimientos. Sucesión. Serie de cosas que siguen una a otra. Estrategias. Patrón de una serie de acciones que ocurren en el tiempo. 1.3 Control Interno El entorno en que se encuentran las organizaciones operando ha cambiado significativamente durante los últimos años y este paso parece acelerarse cada vez más. Se ha visto como ha cambiado la manera de hacer negocios no solo en las organizaciones del paí s sino en el ámbito global, prácticamente se puede hacer negocio sin fronteras. En este sentido, la visión, misión y objetivos de la organización, así como sus métodos de trabajo los recursos humanos y la tecnologí a se vuelven elementos clave para el éxito y por lo tanto un modelo de Control Interno óptimo juega un papel importante. Por lo anterior, el concepto de Control

20 Interno demanda la atención no solo de los auditores sino también de los altos directivos de las Organizaciones. Un sistema de Control Interno es necesario en cualquier organización ya que provee disciplina, consistencia y lineamientos para la conducción de las organizaciones. Los controles internos deben de ser prácticos, también podrí an ayudar a prevenir, detectar y corregir errores, omisiones e irregularidades. 2 Matt Caston, Director Program Development Practice, idem 14 Un sistema de control interno puede cubrir controles tanto contables, administrativos e informática y compromete planes, métodos y procedimientos adoptados por una organización para cubrir, entre otros aspectos, los siguientes: Salvaguarda de activos y registros Verificar la exactitud y confiabilidad de datos contables Promover la eficiencia y efectividad operacional Manejo de polí ticas, procedimientos y estándares, y Cumplir con las leyes y regulaciones Definiciones, objetivos y prá cticas y procedimientos de control Según Ron Weber el control, los objetivos y las prácticas y procedimientos del control significan lo siguiente.4 Control. Cualquier acción tomada por la alta gerencia, se recomienda que éstas acciones estén alineadas a los objetivos, metas y misión de la organización. Objetivos de Control. Son las intenciones administrativas de que los controles se apliquen para lograr los objetivos organizacionales. Prácticas y procedimientos de control. Ayudan a alcanzar los objetivos de control deseado, los cuales cuando se llevan a cabo pueden prevenir, detectar y corregir errores, omisiones e irregularidades que ocurran en áreas de las TI y PN Categorí as del control Acorde al estudio de Committee Sponsoring Organizations of the Treadway Commission (COSO), existen dos categorí as: Los controles de tecnologí a o generales y los controles de aplicación. 4 Ron Weber, Information Systems Control and Auditby, Publisher: Prentice Hall; 1 edition October 29, p Los controles generales aseguran la continuidad de la operación y los controles de aplicación incluyen pasos automatizados dentro del software de aplicación. A continuación se describen.5 Nota: Existe una relación entre los controles generales y los controles de aplicación, esta relación es que los controles generales son necesarios para soportar el funcionamiento de los controles de aplicación y ambos son indispensables para asegurar el completo y correcto procesamiento Controles generales Comúnmente incluyen controles sobre operaciones del centro de procesamiento de datos, software de sistemas, sistemas operativos y utilitarios, seguridad de acceso (lógica y fí sica), desarrollo, adquisición y mantenimiento de sistemas y también incluye la parte de administración del departamento de informática. Son aplicables a todas las plataformas de mainframe, mini computadoras y ambientes de computación de usuario final, a continuación se describen algunos de éstos controles. Operaciones del centro de cómputo. Los trabajos de operador incluyen por ejemplo, set up, scheduling recuperación, respaldos, planes de contingencia, entre otros. Software de sistemas. Incluyen la adquisición, implantación y mantenimiento del software de sistemas (ejemplo, sistemas operativos, sistemas de administración de base, software de telecomunicaciones, software de seguridad y programas utilitarios), los cuales corren en el sistema y permiten las funciones de las aplicaciones. Seguridad de accesos. Están asumiendo gran importancia sobre las telecomunicaciones y redes, debido a su rápido avance tecnológico. Los controles de seguridad de accesos efectivos pueden

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 1. Certificados Digitales 1. Formatos 2. Autoridades de Certificación 2. Firmas Digitales 3. Comercio Electrónico 1. Participantes 2. Elementos 4.

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Modelo de Negocios para la Seguridad de la Información.

Modelo de Negocios para la Seguridad de la Información. Modelo de Negocios para la Seguridad de la Información. El Modelo de Negocios de Seguridad de la Información (BMIS, Business Model for Information Security) se originó en el Institute for Critical Information

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC Seguridad en Redes Módulo 1 Control de acceso Carlos A. Rojas Kramer UCC Agenda Identificación y autenticación. Autorización, derechos y permisos. Modelos de control de acceso. Técnicas y dispositivos

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Tendencias generales

Tendencias generales Tendencias generales Globalización La cadena de valor se amplia e integra Creciente competencia Mercados más complejos y comunicados Hay un incremento acelerado del trabajo en colaboración El negocio depende

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

DIPA 1009 - TÉCNICAS DE AUDITORÍA CON AYUDA DE COMPUTADORA

DIPA 1009 - TÉCNICAS DE AUDITORÍA CON AYUDA DE COMPUTADORA DIPA 1009 - TÉCNICAS DE AUDITORÍA CON AYUDA DE COMPUTADORA Introducción Los objetivos y alcance global de una auditoría no cambian cuando se conduce una auditoría en un ambiente de sistemas de información

Más detalles

DIPLOMADO EN SEGURIDAD INFORMÁTICA

DIPLOMADO EN SEGURIDAD INFORMÁTICA INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el

Más detalles

Seminario CISSP Control de Acceso

Seminario CISSP Control de Acceso Seminario CISSP Control de Acceso Roberto Woo Borrego CISSP, CISA, ITIL, ISO27001 Propiedad de ALAPSI Noreste 1 CÁPSULA: Conceptos generales de Control de Acceso Propiedad de ALAPSI Noreste 2 Instructor

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Programación en Capas.

Programación en Capas. Programación en Capas. Ricardo J. Vargas Del Valle Universidad de Costa Rica, Ciencias de Computación e Informática, San José, Costa Rica, 506 ricvargas@gmail.com Juan P. Maltés Granados Universidad de

Más detalles

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO CONTENIDO 1. ANTECEDENTES E INTRODUCCIÓN 2. OBJETIVOS 3. CARACTERISTICAS 4. ESTRUCTURA 5. ELEMENTOS DEL CONTROL INTERNO

Más detalles

Conceptos Básicos de Auditoría Informática

Conceptos Básicos de Auditoría Informática UNIVERSIDAD NACIONAL DE INGENIERÍA Conceptos Básicos de Auditoría Informática MSc. Julio Rito Vargas Avilés Sábado 21 marzo de 2009 AUDITORÍA INFORMÁTICA Tema Objetivos 1. Conceptos básicos Conocer qué

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES DESCRIPCIÓN DE CURSO DE LA CARRERA DE MAESTRÍA Y POSTGRADO EN AUDITORÍA DE SISTEMAS Y EVALUACIÓN

Más detalles

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. > SMC.WP01 < 1 Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. I. INTRODUCCION Los aspectos de seguridad

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA

SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA matedi 2014. TITULO 1 ÍNDICE 1. ANTECEDENTES. 2.CONSULTORÍA. 3. VALORACIÓN. 4. RESUMEN. matedi 2015. 2 1. ANTECEDENTES. Las empresas llevan a cabo una serie

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Contenido. - Filosofía. - El Sistema. - Estructura. - Apoyo móvil. - Aplicaciones. - Características sobresalientes. - Beneficios del sistema

Contenido. - Filosofía. - El Sistema. - Estructura. - Apoyo móvil. - Aplicaciones. - Características sobresalientes. - Beneficios del sistema Contenido - Filosofía - El Sistema 1 2 - Estructura - Apoyo móvil - Aplicaciones - Características sobresalientes - Problemas frecuentes que soluciona - Beneficios del sistema 3 4 5 6 7 8 - Por qué Neural?

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

NORMAS BASICAS DE AUDITORIA DE SISTEMAS

NORMAS BASICAS DE AUDITORIA DE SISTEMAS DIRECCION DE ESTRUCTURAS ADMINISTRATIVAS Y SISTEMAS DE INFORMACIÓN DEPARTAMENTO DE SISTEMAS DE INFORMACION NORMAS BASICAS DE AUDITORIA DE SISTEMAS 1 INDICE INTRODUCCIÓN Objetivos Control Interno Normas

Más detalles

CONTENIDOS: CONTROL INTERNO CONTROL INTERNO INFORMATICO CONTROL INTERNO Y LA AUDITORIA COBIT AUDITORIA DE SISTEMAS

CONTENIDOS: CONTROL INTERNO CONTROL INTERNO INFORMATICO CONTROL INTERNO Y LA AUDITORIA COBIT AUDITORIA DE SISTEMAS 22 CONTENIDOS: CONTROL INTERNO CONTROL INTERNO INFORMATICO CONTROL INTERNO Y LA AUDITORIA COBIT 23 1 Esta referido fundamentalmente a la adopción de medidas preventivas, que tienen como finalidad salvaguardar

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

prevenir el acceso no autorizado ya sea en forma intencional o no intencional de la información.

prevenir el acceso no autorizado ya sea en forma intencional o no intencional de la información. 6HJXULGDGGHODLQIRUPDFLyQ\$XGLWRULDGH6LVWHPDV 7DEODGH&RQWHQLGR Resumen 1. Seguridad de la Información 2. Auditoria de Sistemas 3. Estándares de Seguridad de la Información 4. Bibliografía 5(680(1 Se hace

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS AUDITORIA DE SISTEMAS OBJETIVO: Conocer el marco conceptual de la auditoría informática CONCEPTO Es un examen crítico con carácter objetivo para evaluar la eficiencia y eficacia en el uso de los recursos

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Sistema de Gestión de Arquitectura Empresarial para la Banca

Sistema de Gestión de Arquitectura Empresarial para la Banca 2015 Sistema de Gestión de Arquitectura Empresarial para la Banca El manual refleja las bondades, alcances y funcionalidad del sistema. Se describe su alineación con los principales framework del mercado

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

http://actualizacion.itesm.mx

http://actualizacion.itesm.mx Diplomado Seguridad informática El Instituto Tecnológico de Estudios Superiores de Monterrey, Campus Estado de México (ITESM-CEM) y la Asociación Latinoamericana de Profesionales en Seguridad Informática,

Más detalles

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA... 3 INTRODUCCIÓN... 3 1.- DISPOSICIONES GENERALES... 3 1.1 ÁMBITO DE APLICACIÓN

Más detalles

Autodesk 360: Trabaje donde esté seguro

Autodesk 360: Trabaje donde esté seguro Visión general de seguridad Autodesk 360 Autodesk 360: Trabaje donde esté seguro Protegiendo sus intereses mientras trabaja en la web con Autodesk 360 https://360.autodesk.com Contenidos Una nube en su

Más detalles

Modelo de Zonas y Servicios: Un enfoque Integral de la Seguridad en la información.

Modelo de Zonas y Servicios: Un enfoque Integral de la Seguridad en la información. Modelo de Zonas y Servicios: Un enfoque Integral de la Seguridad en la información. Ing. Carlos Boris Pastrana Polo Desarrollo de Negocios - Sector Gobierno cpastrana@scitum.com.mx Scitum, S.A. de C.V.

Más detalles

ETHICAL HACKING. FAVA - Formación en Ambientes Virtuales de Aprendizaje. SENA - Servicio Nacional de Aprendizaje

ETHICAL HACKING. FAVA - Formación en Ambientes Virtuales de Aprendizaje. SENA - Servicio Nacional de Aprendizaje ETHICAL HACKING INTRODUCCIÓN Desde hace varias décadas han aparecido nuevas modalidades de delitos informáticos dentro de los que se encuentran los ataques por crackers o hackers capaces de comprometer

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013

La gestión de la seguridad informática. La gestión de la seguridad informática. Contenido. Consideraciones 22/03/2013 La gestión de la seguridad informática 1 Contenido La gestión de la seguridad información. 2 Hacking ético 3 Hacking Víctor Cuchillac La gestión de la seguridad informática Consideraciones Por dónde empezamos?

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

MANUAL 02 DE AUDITORIA

MANUAL 02 DE AUDITORIA MANUAL 02 DE AUDITORIA INDICE 1. Introducción 2. Evaluación de los Sistemas 3. Evaluación de los equipos 4. Controles administrativos en un ambiente de Procesamiento de Datos 5. Revisión de Centros de

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

Presentación Institucional

Presentación Institucional Presentación Institucional FLOWGATE SECURITY CONSULTING FLOWGATE es una empresa especializada en servicios de Seguridad Informática y desarrollo a medida de sistemas de seguridad orientados a satisfacer

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

COSO II ERM y el Papel del Auditor Interno

COSO II ERM y el Papel del Auditor Interno COSO II ERM y el Papel del Auditor Interno Rafael Ruano Diez Socio - PricewaterhouseCoopers TEMARIO DE LA SESIÓN Introducción a COSO II ERM Enterprise Risk Management Premisas fundamentales Preguntas claves

Más detalles

SEGURIDAD EN INFORMÁTICA

SEGURIDAD EN INFORMÁTICA SEGURIDAD EN INFORMÁTICA LA SEGURIDAD Y SUS IMPLICACIONES Características principales de la seguridad en Internet: Confidencialidad. Sólo deben tener acceso a aquellas personas autorizadas para ello. Autentificación

Más detalles

Capitulo 6 VPN y Firewalls

Capitulo 6 VPN y Firewalls 6. Antecedentes Los empleados móviles, las oficinas en casa y el telecommuter demandan la extensión de los niveles de servicio mas alla de la Intranet VPN es una red que en alguna parte pasa a través de

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

"Metodolog#a de Comprobaci$n ISO 17.799% & ' 12( 12(1 (3. Página 1

Metodolog#a de Comprobaci$n ISO 17.799% & ' 12( 12(1 (3. Página 1 !! "Metodolog#a de Comprobaci$n ISO 17.799% & ' () *+,-.-/0 12( 12(1 (3 Página 1 Proposición Desarrollar una metodología que se utilice para identificar cuales son las diferencias existentes en una empresa

Más detalles

Asistente para la realización de auditorías de sistemas en organismos Públicos o Privado.

Asistente para la realización de auditorías de sistemas en organismos Públicos o Privado. Asistente para la realización de auditorías de sistemas en organismos Públicos o Privado. Proyecto de Tesis de Magíster en Ingeniería del Software Maestrando: Lic.Horacio Kuna Director: Dr. Ramón García

Más detalles

Buenas prácticas: Auditoría en Sistemas Informáticos

Buenas prácticas: Auditoría en Sistemas Informáticos Programa de Certificación para Auditores Internos Gubernamentales y Municipales Buenas prácticas: Auditoría en Sistemas Informáticos Lic. Guillermo de León Sosa Auditor en Sistemas Informáticos gdeleons@contraloria.gob.gt

Más detalles

EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana. 1.- Globalización y avance tecnológico

EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana. 1.- Globalización y avance tecnológico EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana 1.- Globalización y avance tecnológico La infraestructura tecnológica disponible y el entorno de globalización han

Más detalles

Modelo de Arquitectura de Seguridad de la Información (MASI)

Modelo de Arquitectura de Seguridad de la Información (MASI) Modelo de Arquitectura de Seguridad de la Información (MASI) Angélica Flórez Abril, MSc. Universidad Pontificia Bolivariana Bucaramanga, Colombia Octubre, 2010 Introducción Contenido IT Governance, Risk

Más detalles

Juan de Dios Murillo Morera e-mail: jmurillo@una.ac.cr Santiago Caamaño Polini e-mail: scaamano@costarricense.cr INTRODUCCIÓN

Juan de Dios Murillo Morera e-mail: jmurillo@una.ac.cr Santiago Caamaño Polini e-mail: scaamano@costarricense.cr INTRODUCCIÓN UNICIENCIA 24 pp. 83-89 2010 IMPLEMENTACIÓN DE UN SERVIDOR FTP UTILIZANDO EL MODELO CLIENTE/SERVIDOR MEDIANTE EL USO DE SOCKETS EN LENGUAJE C UNIX CON EL FIN DE MEJORAR LOS TIEMPOS DE RESPUESTA EN LA RED

Más detalles

TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN Lineamientos y normativas para el respaldo de la información de los usuarios de Opus Software Publicado por Sector PMO & Gestión Documental de Opus

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

CONTROL INTERNO DEL REPORTE DE LA INFORMACION FINANCIERA GUÍA PARA PEQUEÑAS EMPRESAS COTIZADAS

CONTROL INTERNO DEL REPORTE DE LA INFORMACION FINANCIERA GUÍA PARA PEQUEÑAS EMPRESAS COTIZADAS CONTROL INTERNO DEL REPORTE DE LA INFORMACION FINANCIERA GUÍA PARA PEQUEÑAS EMPRESAS COTIZADAS Volumen I: Resumen Ejecutivo Junio 2006 En 1992 el Comité de Organizaciones Patrocinadoras de la Comisión

Más detalles

POLITICA DE SEGURIDAD

POLITICA DE SEGURIDAD POLITICA DE SEGURIDAD ALCANCE DE LAS POLÍTICAS Las políticas definidas el presente documento aplican a todos los funcionarios públicos, contratistas y pasantes de la Corporación Para el Desarrollo Sostenible

Más detalles

La seguridad de los datos implica protegerlos de operaciones indebidas que pongan en peligro su definición, existencia, consistencia e integridad

La seguridad de los datos implica protegerlos de operaciones indebidas que pongan en peligro su definición, existencia, consistencia e integridad La seguridad de los datos implica protegerlos de operaciones indebidas que pongan en peligro su definición, existencia, consistencia e integridad independientemente de la persona que los accede. Esto se

Más detalles

MEJORES PRACTICAS EN LA AUDITORIA INTERNA C O N T E N I D O

MEJORES PRACTICAS EN LA AUDITORIA INTERNA C O N T E N I D O Exposición de Banco de Mexico MEJORES PRACTICAS EN LA AUDITORIA INTERNA C O N T E N I D O INTRODUCCION. 1 I. EVALUACION DEL CONTROL INTERNO. a. MODELO COSO. ESTRUCTURA DEL CONTROL INTERNO. 3 OBJETIVOS

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Patricia Prandini Posgrado en Seguridad Informática Universidad de Buenos Aires Agenda I. Porqué necesitamos un marco

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Es Internet un lugar seguro para vivir?

Es Internet un lugar seguro para vivir? Seguridad file:///home/jpiquer/jpiquer/charlas/seguridad4/charla.html Es Internet un lugar seguro para vivir? José M. Piquer DCC - U. de Chile 1 of 1 06/08/2007 04:43 PM Internet Comercial (8) file:///home/jpiquer/jpiquer/charlas/seguridad4/1.html

Más detalles

QUÉ OCURRE EN LA ACTUALIDAD CON LA SEGURIDAD? INVESTIGA

QUÉ OCURRE EN LA ACTUALIDAD CON LA SEGURIDAD? INVESTIGA QUÉ OCURRE EN LA ACTUALIDAD CON LA SEGURIDAD? INVESTIGA AUTORÍA MARÍA CATALÁ CARBONERO TEMÁTICA SEGURIDAD, REDES ETAPA CICLO SUPERIOR DE INFORMÁTICA Y PROFESORADO Resumen La seguridad en los sistemas en

Más detalles

HERRAMIENTAS DE SEGURIDAD

HERRAMIENTAS DE SEGURIDAD Seguridad Informática I M.C. Cintia Quezada Reyes HERRAMIENTAS DE SEGURIDAD Siempre es conveniente instalar herramientas de seguridad y es aconsejable que éstas sean las que se consideren necesarias después

Más detalles

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas 9 El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas LEZAMA- Valeria Universidad Iberoamericana. Recibido 21 de Enero, 2014; Aceptado

Más detalles

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo

Más detalles