Agradecimientos A mis padres; Virginia Morales Morales y Roberto Pérez Hernández, por su amor, paciencia infinita y comprensión.

Transcripción

1 Agradecimientos A mis padres; Virginia Morales Morales y Roberto Pérez Hernández, por su amor, paciencia infinita y comprensión. A mi tí a, Celia Pérez Hernández y a mis hermanos; Hugo, Marí a Guadalupe, Ví ctor Manuel, Carlos Marcelo, Miguel Ángel y Felipe Pascual, por su apoyo constante e incondicional. A mi asesor de tesis M. en C. Rafael Ibáñez Castañeda y a mis sinodales M. en C. Emilia Abad Ruiz, M. en C. Carlos González Escamilla, M. en C. Abel Bueno Meza, M. en C. Guillermo Pérez Vázquez, por su orientación, comentarios y paciencia los cuales me permitieron llegar al final de este proyecto. A todos y cada uno de mis profesores por sus valiosas enseñanzas y a mi fuente de conocimiento Universitario. A mis amigos, ya que sus enseñanzas me sirven para reflexionar hasta en la más compleja de mis acciones y a todas aquellas personas que están cerca de mi y que impulsan a seguir por la senda profesional. Í NDICE Pág. Introducción CAPÍ TULO 1 Teorí a sobre la Auditorí a a las Tecnologí as de Información y Procesos de Negocio 1.1 Estructura de las Tecnologí as de Información y Procesos de Negocio 1.2 Planeación estratégica, táctica y operacional Definiciones de polí ticas, estándares, normas, procedimientos y estrategias 1.3 Control Interno Definiciones, objetivos y prácticas y procedimientos de control Categorí as del control Controles generales Controles de aplicación Caracterí sticas y requerimientos del control Clasificación del control Controles por su acción u objetivo Análisis de costo beneficio en la implantación de controles Controles compensatorios e interrelaciones entre controles Uso de controles 1.4 Riesgos y exposiciones Definiciones de riesgo y exposiciones Evaluación de riesgo Tipos de evaluación de riesgo Categorización global de riesgo Tipos de riesgos Riesgos de negocio Riesgos de control Riesgos de auditorí a Riesgos de información Riesgos de integridad...

2 Asociación de Auditorí a y Control de Sistemas de Información (The Information Systems Audit and Control Association - ISACA) y el Programa de Certificación 1.6 Código de Ética 1.7 Estándares de auditorí a de sistemas de información 1.8 Organismos que emiten estándares de auditorí a a las TI y PN 1.9 Objetivos de control de Información relacionados a la Tecnologí a Control Objectives for Information and Related Technology (COBIT) CAPÍ TULO 2 Fundamentos de Seguridad Lógica para minimizar los riesgos en las Organizaciones 2.1 Definiciones de Seguridad Lógica y Auditorí a a la Seguridad Lógica 2.2 Amenazas humanas y métodos más comunes a que están expuestos los recursos computacionales Clasificación de personas que pueden atacar los recursos computacionales Métodos más usados tanto por personal interno como externo para atacar los recursos computacionales

3 2.3 Propuesta de arquitectura de seguridad lógica para que las organizaciones puedan minimizar sus riesgos Análisis de impacto del negocio Polí ticas y estrategias de seguridad general Infraestructura técnica Técnicas para el control de accesos lógicos y fí sicos Paquetes de software de seguridad para el control de acceso Importancia de contar con seguridad en los sistemas operativos sistemas operativos Importancia de contar con seguridad en los sistemas operativos abiertos Soluciones para implementar niveles de seguridad en accesos lógicos Otros controles de acceso lógico 2.4 Conceptos básicos para implementar un esquema de seguridad en la red/web Técnicas criptográficas básicas Tipos de criptografí a Usos de la criptografí a Protocolos de seguridad para redes Seguridad que puede ser implementada en la red Firewall Kerberos Steganography 2.5 Otros aspectos importantes a tomar en cuenta relacionados con la seguridad CAPÍ TULO 3 Historias de accesos ilegales sobresalientes que han afectado la Seguridad Lógica 3.1 Antecedentes 3.2 Hackers y prackers famosos 3.3 Historia de páginas web modificadas en el ámbito internacional

4 3.3.1 ValuJet Airlines Yahoo Amazon e-bay Buy.com ZDnet Sabotaje de un empleado Asalto a la Moncloa Espectacular ataque a New York Times El CSIC dice no a la guerra El Columbia en llamas por un dí a Un autentico animal en la web de Greenpeace Apple e Intel se fusionan, según Macworld 3.4 Historia de páginas Web modificadas en el ámbito nacional Archivo Nacional de la Nación Centro de Computación Profesional de México CAPÍ TULO 4 Metodologí a de la Auditorí a a las Tecnologí as de Información y Procesos de Negocio 4.1 Definición de auditorí a, tipos y clases Tipos de auditorí a: Interna y Externa Personas que realizan la auditorí a: Auditorí a Interna y

5 Externa Clases de auditorí as: Operacional, Financiera, Integral y de Tecnologí as de Información y Procesos de Negocio 4.2 Metodologí a de Auditorí a a las Tecnologí as de Información y Procesos de Negocio Etapa de planeación interna con el equipo de trabajo Planeación con la organización que va a auditar, trabajo de campo, preparación y presentación del informe o reporte Planeación con la organización que se va a auditar Etapa de trabajo de campo Etapa de preparación y presentación del informe o reporte 4.3 Tipos de evidencia cuando se realiza una auditorí a Evidencia de auditorí a en un ambiente automatizado Fuentes para obtener evidencia Papeles de trabajo Porque usar muestreo estadí stico Tipos de muestreo Muestreo estadí stico Muestreo no-estadí stico 4.4 Técnicas de auditorí a asistidas por computadora CAPÍ TULO Elaboración y aplicación de un Programa de Trabajo para realizar una Auditorí a a al Seguridad Lógica

6 del Sistema Operativo AIX versión Comprensión general del negocio 5.2 Elaboración del Programa de Auditorí a Selección y Aplicación del Programa de Auditorí a 5.3 La razón del porque se auditó el sistema operativo AIX versión Alcance del programa 5.5 Objetivo 5.6 Ataques a los cuales se enfocó más el programa 5.7 Programa general para Auditar el Sistema Operativo AIX versión Programa detallado para auditar el Sistema Operativo AIX versión Resultado de la Auditorí a Reporte Ejecutivo Reporte Técnico CONCLUSIONES BIBLIOGRAFÍ A Glosario administrador de seguridad (security administrator) - Persona responsable de la implantación, monitoreo y seguimiento de las reglas de seguridad establecidas y autorizadas por la alta administración. amenaza (threat) - Una situación que podrí a dar lugar a que los medios de procesamiento de información o los datos, intencional o accidentalmente sufran pérdida, modificación, se vean expuestos a riesgos, queden inaccesibles, o se vean afectados de cualquier otra manera en forma perjudicial para la organización. Asociación de Auditorí a y Control de Sistemas de Información (The Information Systems Audit and Control Association - ISACA) - Es una Asociación de Auditorí a y Control de Sistemas de Información su sede esta en Chigago, Estados Unidos. La asociación es un lí der reconocido en el ámbito mundial en aspectos de Auditorí a y Control en Tecnologí a de Información. ataques así ncronos (asincronos attacks) - Son ataques indirectos contra programas, éstos alteran datos legí timos o códigos en el momento en que los programas están ociosos.

7 auditor (auditor) - Persona especializada que puede trabajar dentro o afuera de la organización a quien se le ha asignado la responsabilidad de desempeñar funciones propias de Auditorí a en Informática. auditorí a (audit) - Proviene del latí n auditorius que se refiere a todo aquel que tiene la virtud de oí r. Actividad consistente en emitir una opinión profesional sustentada en procedimientos, sobre si lo sometido a análisis (situación, actuación, manifestación, documentación, informe) refleja la realidad y cumple con las condiciones que le han sido preestablecidas. auditorí a a las tecnologí as de información y procesos de negocio (business processes and information technology auditing) - Es el proceso de evaluar y reportar que existan controles óptimos para asegurar que los activos relacionados a las Tecnologí as de Información (hardware, redes y telecomunicaciones y plataformas de software) y a los Procesos de Negocio (base de datos, sistemas en operación y sistemas de negocio) estén salvaguardados, que la integridad de datos esté protegida, que los sistemas cumplen con polí ticas, procedimientos, estándares, reglas, leyes y regulaciones. auditorí a externa (external auditing) - Es un examen formal e independiente de los estados financieros, sus registros, transacciones y operaciones, realizado por contadores profesionales para dar credibilidad a los estados financieros y otros informes de la gerencia, así como el asegurar un adecuado registro de las cuentas contables o identificar puntos débiles en los controles y sistemas internos. auditorí a financiera (financial audits) - Verificación de los estados contables, llevada a cabo por profesionales competentes; la verificación se hace mediante la aplicación de procedimientos y principios contables generalmente aceptados. auditorí a interna (internal auditing) - Actividad independiente para verificar, mediante el examen y evaluación de evidencia objetiva, si los procesos y elementos aplicables del sistema administrativo han sido desarrollados, documentados, implementados y mantenidos efectivamente. auditorí a operacional (operational audits) - Puede definirse como el examen o evaluación profesional de todas o una parte de las operaciones o actividades de cualquier entidad, para determinar su grado de eficacia y eficiencia y formular recomendaciones gerenciales para mejorar. autenticación (authentication) - Proceso de determinar si una persona o una empresa está autorizada para llevar a cabo una acción dada. Algunos sistemas de autenticación incluyen tanto identificación como autorización, mientras que otros solamente incluyen uno u otro. biometrí a (biometric) - Técnica de seguridad la cual verifica la identidad de un individuo por medio de atributos fí sicos únicos, tales como, el reconocimiento de voz, la palma de la mano y el iris del ojo, entre otros. bomba lógica (logical bomb) - Programa de computadora que se activa bajo ciertas condiciones especí ficas de acuerdo a los requerimientos establecidos por los programadores. Las condiciones que la activan pueden ser una combinación de fecha y hora. Cuando se activa hace luego copias de sí misma "explotando" hasta que bloquee todo el sistema. caballo de troya (trojan horse) - Es un programa que puede realizar una función útil, pero también puede realizar una acción inesperada es una forma de virus, es decir es un programa malévolo que se esconde dentro de un programa amistoso o simula la identidad de un programa con caracterí sticas legí timos mientras que realmente causa daño en los sistemas. Este método puede ser particularmente difí cil de detectar puesto que aparentan ser programas legí timos y útiles pero en realidad no lo son. contraseña (password) - Cadena de caracteres que sirven para autenticación del usuario.

8 controles preventivos (preventive controls) - Diseñados para prevenir o restringir un error, omisión o instrucción no autorizada. control (control) - Medidas que se toman para garantizar la integridad y la calidad de un proceso. Consiste en verificar si todo ocurre de conformidad con el plan adoptado, con las instrucciones emitidas y principios establecidos. Tiene como fin señalar las debilidades y errores a fin de rectificarlos e impedir que se produzcan nuevamente. control de acceso (access control) - Procesos que limitan y controlan los accesos a los recursos computacionales. control de acceso fí sico (physical access control) - Interpone barreras fí sicas entre las personas no autorizadas y el medio de información que protegen. control de acceso lógico (logical access control) - Emplea medios no fí sicos, tales como; contraseñas, con el fin de proteger los recursos computacionales. control dual (dual control) - Método destinado a preservar la integridad de un proceso. Requiere que dos personas independientemente realicen algunas funciones antes de completar determinadas transacciones. Siempre que se requiera control dual, ambas personas deben tener sumo cuidado de actuar en forma independiente una de la otra. controles preventivos ( preventive controls) - Diseñados para prevenir o restringir un error, omisión o intrusión no autorizada. Son diseñados para que antes o durante el ingreso a cualquier medio computarizado sean rechazados. controles detectives (detective controls) - Han sido diseñados previamente y estos detectan o reportan cuando existen errores, omisiones de usuarios no autorizados. cortafuegos (firewalls) ) - Dispositivo que monitoriza las conexiones de la red a fin de evitar que intrusos desde el exterior puedan entrar a los servidores. cracker (cracker) - Persona que se dedica a entrar a las redes de forma no autorizada o ilegal, para conseguir información o romper las conexiones de las redes con fines destructivos. criptografí a (cryptography) - Proceso matemático que se utiliza para transformar información de un texto legible (texto claro) a un texto ilegible (texto cifrado). destrucción de la información (destruction of information) - Método que reduce la información a un estado en el cual no se pueda utilizar. dictamen de auditorí a (opinion of audit.) - Opinión o juicio que se forma y emite sobre algo, especialmente el trabajo lo realiza un especialista. divulgación de información (disclosure of information) - Cualquier situación en la cual se trasfiere, comunica o se permite acceso a otra persona o entidad a información. e-comercio (e-commerce) - Sistema de compra/venta de bienes y servicios a través de la Red (Web). e-móvil (e-movil) - Sistema de compra/venta de bienes y servicios a través de teléfonos o agendas electrónicas (PALM). encripción o encriptación (encryption) - Proceso de convertir información a forma no legible. El uso de la encripción o encriptación protege la información contra la divulgación no autorizada entre el proceso de cifrado y descifrado. exposición (exposure) - Condición no deseable. firma digital (digital signature) - Equivalente práctico a una firma fí sica en un documento. Un medio digital que posea una firma digital es considerado como legal. ingenierí a social (social engineering) - Se refiere a la capacidad que tiene una persona de utilizar otra personalidad. La persona adquiere conocimientos y habilidades sociales para robar información relacionada a los sistemas computacionales. gusano (worm) - Programa independiente que se duplica por si mismo trasmitiéndose de un equipo

9 a otro a través de las conexiones de red. hacker (hacker) - Individuos quienes obtienen maliciosamente accesos no autorizados a los recursos computacionales. identificación de usuario (user identification) - Cadena de caracteres que se utiliza para identificar en forma única e individual a cada usuario que ingresa a los recursos computacionales. información (information) - Acción y resultado de informar o informarse, así como tambien es un conjunto de datos sobre una materia determinada. integridad (integrity) - Totalidad, plenitud o rectitud. internet (internet) - Red global que conecta miles de millones de computadoras con direcciones únicas, con la finalidad del intercambio de información. impersonalización (impersonalization) - Proceso donde una persona asume la identidad de otra. muestreo de atributos (attribute sampling) - Técnica de muestreo usada en auditorí a, esta técnica permite seleccionar datos de una población. El propósito de prueba se basa en una selección para que todos los datos tengan ciertos atributos o caracterí sticas de ser seleccionados. muestreo de variables (variable sampling) - Técnica de muestro usado para estimar la media o el valor total de la población basada en la muestra. muestreo estadí stico (statistical sampling) - Método para seleccionar una muestra de una población, se basa en cálculos matemáticos y probabilidades, con el propósito de dar validez matemática y cientí fica a la muestra de una población entera. necesidad de información (need-to-know) - Concepto de seguridad, que limita el acceso a la información y a los medios de procesamiento de datos. Es la información básica requerida para que la persona pueda realizar sus funciones. negación de servicio (denial of service) - Acciones que impiden que un sistema o red funcione correctamente. La negación de servicio se produce cuando un sistema o el servidor es saturado con solicitudes no legitimas, haciendo imposible responder a solicitudes o tareas reales. no asegurado o no protegido (unsecured) - Situación en que las personas no autorizadas o desconocidas pueden obtener acceso a los sistemas o a datos. objetivo de control (control objective) - Son usados como marco de referencia para el desarrollo e implementación de controles. Objetivos de Control de Información Relacionados a la Tecnologí a (Control Objectives for Information and Related Technology - COBIT) - Han sido desarrollados como estándares generalmente aplicables y aceptados para mejorar las prácticas de control y seguridad de las Tecnologí as de Información (TI) que provean un marco de referencia para la administración, usuarios y auditores. norma (norm) - Documento establecido por consenso y aprobado por un organismo reconocido, que suministra para uso común y repetido, reglas, lineamientos o caracterí sticas y se toma como base para la realización de actividades. password cracking (password cracking) - Técnica usada para ganar sorpresivamente acceso a los sistemas usando cuentas del usuario no legitimas. perí metro de control (control perimeter) - Lí mites que definen el alcance de una autoridad de control. pista de auditorí a (audit trail ) - Evidencia que se inserta dentro de los programas originales y se les pide ciertos criterios de selección (controles riesgosos), para que sean incluidos en reportes ya sea impresos o por pantalla. Los reportes se utilizan para determinar si ha ocurrido algún uso no autorizado o algún intento de utilizar los recursos computarizados de forma no autorizada. piggybacking (piggybacking) - Método para ingresar a áreas de acceso controladas; puede ocurrir en un sistema en lí nea donde se están utilizando terminales y la identificación es verificada

10 automáticamente por el sistema, cuando se ha activado una terminal la computadora autoriza el acceso, generalmente con base a una identificación del usuario y un passwords. programa de auditorí a (audit program) - Conjunto de instrucciones y procedimientos paso a paso que deben ser ejecutados para completar una auditorí a. pruebas de cumplimiento (compliance testing) - Su objetivo es determinar si los controles internos han sido cumplidos de acuerdo a lo que ha establecido la administración; éstas pruebas son usadas para determinar si los controles internos existen y si están trabajando efectiva y eficientemente. pruebas sustantivas (sustantive testing) - Su objetivo es verificar a nivel de registros los controles internos. La pruebas sustantivas deben ser limitadas cuando el resultado de la evaluación de riesgos es bajo e incrementadas cuando el nivel de riesgo es alto. red (network) - Conjunto de computadoras conectados entre sí con el fin de compartir datos, información y recursos computacionales. revelación (disclosure) - Ataque que se lleva a cabo cuando un individuo logra acceder a información para la cual no se le ha otorgado acceso explí cito. riesgo (risk) - Probabilidad de que un evento desfavorable ocurra y pueda llevar a pérdidas financieras, mala imagen para clientes, accionistas, instituciones bancarias o proveedores. riesgo de auditorí a (audit risk) - Probabilidad de sufrir una pérdida debido a la incidencia de una o más amenazas que pueden afectar la información. riesgo de control (control risk) - Probabilidad que la información y los reportes contengan errores materiales y que aplicando las pruebas de cumplimiento no se hayan detectado. riesgo de detección (detection risk) - Probabilidad de que las pruebas que fueron realizadas por el auditor de Sistemas de Información, no detecten un error que pudiera materializarse ya sea individualmente o en combinación con otros errores. riesgo del negocio (business risk) - Probabilidad de impactar a los negocios o servicios y que no puede ser controlado ya que lo determina el medio ambiente, puede ser riegos financieros, contables, de impuestos o de control. servidor (server) - Una computadora que actúa en calidad de proveedor de algún servicio a otras computadoras, por ejemplo, procesamiento de comunicaciones, interfaz con los medios de almacenamiento de archivos o medios de impresión. sistema operativo (operating system) - Programa de control maestro que puede administrar los trabajos de la computadora. sistemas de contraseñas dinámicas (dynamic password systems) - Sistema que verifica la identidad de una persona utilizando dispositivos que generan nuevas contraseñas en cada sesión. Estos sistemas autentican a la persona utilizando algo que la persona tiene o algo que la persona sabe, por ejemplo, certificados digitales, tarjetas fí sicas o indicadores biométricos. smurfing (smurfing) - Ataque de negación de servicio por el cual un programa automatizado ataca una red y aprovecha una dirección difundida por el protocolo de Internet (IP). sniffer (sniffer) - Programa que captura paquetes de datos que pasan por un servidor como bitácoras y contraseñas. Se usan herramientas de monitoreo de red que capturan paquetes de datos y decodifican éstos usando protocolos comunes. software de auditorí a generalizado (generalized audit software) - Sistema con propósitos múltiples, este sistema puede ser usado para seleccionar registros, hacer recálculos, sumarizaciones y reportes, entre otros. software antivirus (anti-virus software) - Herramienta que examina un sistema o una red en busca de virus y elimina los que encuentre. La mayorí a del software de antivirus tiene caracterí sticas que permiten descargar perfiles de nuevos virus para que pueden buscar nuevos virus tan pronto como se descubran. software de seguridad (security software) - Se usa para administrar la seguridad lógica, usualmente

11 incluye autentificación de usuarios, accesos acorde a las reglas predefinidas, monitoreo y funciones de reportes. spoofing (spoofing) - Lograr la conexión a un servidor de cualquier manera y dañar los recursos computacionales. Una técnica usada para reducir el servicio de la red especialmente en redes de área amplia. spyware (spyware) - Imitación de la dirección del remitente o incluso hacerse pasar por un usuario autorizado en un intento por obtener la entrada ilegal a un sistema seguro. steganography (steganography) - Práctica de ocultar información dentro de otra información. superzapping (superzapping) - Uso no autorizado de programas utilitarios para modificar, destruir, copiar, divulgar, insertar, utilizar o negar datos. Es un programa utilitario poderoso que puede violar los controles de seguridad. tarjeta inteligente (smart card) - Tiene integrado un chip, permite autentificar al usuario, se pueden realizar transacciones y actualizar información. técnicas de auditorí a asistidas por computadora (computer assisted audit technique -CAAT) - Generadores de pruebas de datos, programas de auditorí a computarizado y utilitarios de auditoria especializado para verificar los datos. técnica del salami (salami technique) - Robar pequeñas cantidades de dinero y ser depositados a la cuenta del perpetrador. trap door (trap door) - Permite a un usuario tener acceso a sistemas que estén funcionando y que éstos le han sido autorizados. Estos privilegios de acceso se pueden obtener con una condición del teclado fácilmente. The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO)- The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO). Publicado en 1992 hace recomendaciones a los contables de gestión de cómo evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información, comunicación y monitoreo. verificar (to verify) - Comprobar la verdad o autenticidad de algo. virus (virus) - Programa que puede "infectar" o "contaminar" otros programas al modificarlos para incluir una copia de si mismo. El código viral es tí picamente malicioso y perjudicial para la integridad de la información o del sistema. vulnerabilidades (vulnerabilities) - Debilidades en los recursos computacionales que son explotados en caminos diferentes y pueden llegar a afectar la polí tica de seguridad. web defacing (web defacing) - Forma popular de ataque de los hackers, en donde el hacker entra ilegalmente en los web site de las organizaciones y cambia los contenidos de las páginas. wiretapping (wiretapping) - Escuchar o interceptar una conversación ví a telefónica durante la transmisión de mensajes o información. Relación de cuadros, gráficas e ilustraciones Pág.. Lista de cuadros Cuadro 1.1 Categorización global del riesgo Cuadro 1.2 Estándares de auditorí a de sistemas de información Cuadro 2.1 Esquema para ingresar a los recursos computacionales Cuadro 2.2 Maneras más comunes de cómo las contraseñas pueden ser divulgadas Cuadro 4.1 Muestreo estadí stico y no-estadí stico

12 Cuadro 4.2 Definiciones del muestreo estadí stico Cuadro 4.3 Ejemplos del uso de técnicas asistidas por computadora Lista de gráficas Gráfica 1.1 División de tecnologí a computacional Gráfica 1.2 Procesos clave relacionados al marco de trabajo Gráfica 1.3 Clasificación de control Gráfica 1.4 Clasificación de riesgos de integridad Gráfica 2.1 Personas internas o externas que pueden dañar los recursos computacionales Gráfica 2.2 Métodos más usados tanto por personal interno como externo para atacar los recursos computacionales Gráfica 2.3 Propuesta de Arquitectura de Seguridad Lógica Gráfica 2.4 Propuesta de Arquitectura de Seguridad Lógica Técnica Gráfica 2.5 Medios básicos y cruciales para proteger la seguridad de los recursos informáticos Gráfica 2.6 Tipos de llaves criptográficas Gráfica 4.1 Preguntas clave de auditorí a Gráfica 4.2 Como se debe planear una auditorí a Gráfica 4.3 Como se debe llevar a cabo una auditorí a Gráfica 4.4 Como se deben de reportar los resultados de una auditorí a Gráfica 5.1 Pasos para elaborar un programa de trabajo Lista de ilustraciones Ilustración 3.1 Robert Tappan Morris Ilustración 3.2 Vladimir Levin Ilustración 3.3 Kevin Mitnick

13 METODOLOGÍ A DE LA AUDITORÍ A A LA SEGURIDAD LÓGICA DEL SISTEMA OPERATIVO AIX VERSIÓN 4.2 RESUMEN La pérdida de imagen, dinero, clientes o hasta la ruina financiera y económica de algunas organizaciones, en gran medida puede producirse por una débil arquitectura de seguridad o a un mal diseño de la misma. Un problema frecuente es que no existe en las organizaciones un esquema de seguridad lógica óptimo o si existe no esta adecuadamente definido y actualizado para que puedan contrarrestarse los diferentes ataques tanto por personal interno como externo. Otro problema de Seguridad Lógica, es cuando se cambia o actualiza el sistema operativo, la mayorí a de las veces no es adecuadamente parametrizado de acuerdo a las necesidades de la organización; lo cual crea tremendos retos para los accionistas, directores de las organizaciones, gerentes y los profesionales que están involucrados en las Tecnologí as de Información (TI) y los Procesos de Negocio (PN). Teniendo en cuenta los cambios tecnológicos tan rápidos en TI y PN y la problemática anteriormente descrita, se ha desarrollado esta tesis con el nombre de METODOLOGÍA DE LA AUDITORÍA A LA SEGURIDAD LÓGICA DEL SISTEMA OPERATIVO AIX VERSIÓN 4.2 La base de este proyecto fue una exhaustiva investigación bibliográfica. Asimismo, como caso práctico se investigó, elaboró, diseñó y se aplicó un programa de trabajo de Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2 en una organización real. Para llevar acabo la auditorí a se integró un equipo de trabajo con personal del área de Auditorí a a las TI y PN y el área de Informática de la organización (interno), así como el personal técnico de IBM (externo). La justificación de este proyecto está basada en que la mayorí a de las organizaciones nacionales y trasnacionales (pequeñas, medianas y grandes) que posean Sistemas de TI y PN, deben someterse a auditorias para que se evalué el nivel de su Seguridad Lógica en sus sistemas operativos ya que el éxito de una empresa depende de la eficiencia de su información. DE PREINSCRIPCIÓN El objetivo general de esta investigación es el análisis, diseño de una metodologí a de auditorí a para ser aplicada al programa de trabajo propuesto a una Auditorí a a Seguridad Lógica del Sistema Operativo AIX versión 4.2. La tesis se encuentra dividida en 5 capí tulos, de los cuales los capí tulos 1 y 2 contemplan el marco teórico que corresponden a la Teorí a básica de Auditorí a a las TI y PN y se presentan los Fundamentos de Seguridad Lógica para minimizar los riesgos en las Organizaciones. En el capí tulo 3 se describen algunas de las historias de accesos ilegales sobresalientes que han afectado la Seguridad Lógica; en el capí tulo 4 se muestra la metodologí a de auditorí a a las TI y PN propuesta y en el capí tulo 5 se describe como se diseñó, aplicó y validó un Programa de Trabajo para realizar una Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2, posteriormente se obtuvieron los resultados y fue elaborado el reporte de auditorí a correspondiente. Al final se muestran las conclusiones obtenidas y la bibliografí a utilizada Las limitaciones del estudio de esta tesis es que no contempla la teorí a sobre Seguridad Fí sica y es de suma importancia comprenderla y aplicar los puntos de control cuando se realiza una auditorí a a cualquier componente (hardware, redes y telecomunicaciones, software de sistemas, bases de datos, sistemas en aplicación, sistemas de negocio). Cabe mencionar que el ámbito de la auditorí a a las TI y PN es tan amplio que se pueden auditar algunas de las áreas o componentes pero no todos. Por lo que se recomienda que sea seleccionado el componente según el juicio del ente auditado o el tenga más riesgo. Para efectos de esta tesis solo fue seleccionado el componente del

14 sistema operativo AIX versión 4.2. AUDIT METHODOLOGY TO THE LOGICAL COMPUTER SECURITY OF THE OPERATING SYSTEM AIX VERSION 4.2 SUMMARY The loss of image, money, clients, or the economic and financial ruin of some businesses, in great measure can be produced by a weak architecture of logical computer security or to a bad design of the same one. Is that there is not an optimal scheme of logical computer security in the organizations. If that is, it is not adequately defined or updated so as to counteract the different attacks done not only by internal personnel, but also by external personnel. Another frequent problem of logical computer security, is when the operating system changed or updated. Most of the time it is not adequately arranged according to the needs of the organization and this creates tremendous challenges for the shareholders, businesses directors, managers and professionals involved in the Information Technology (IT) and Business Process (BP). Keeping that in mind, the quick technological changes in IT and BP and the problems previously described, are the subject of this thesis: AUDIT METHODOLOGY TO THE LOGICAL COMPUTER SECURITY OF THE OPERATING SYSTEM AIX VERSION 4.2 The base of this project was an exhaustive bibliographical investigation. Likewise as a practical case, an audit work program to the Logical Security of the Operating System AIX 4.2 in a real business was investigated, devised, designated and applied. In order to finish the audit, a team worked with personnel from the audit area and from the area of data processing, a personnel from IBM techical support was integrated and the evaluation was carried out. The justification of this project is based on the fact that the majority of the national and transnational businesses (small, medium and large) which possess TI and BP, should be submitted to audit so that way the level of their logical computer security in their operating systems could be evaluated. The success of a business depends on the efficiency of their information. The general objective of this research is the analysis and design of an audit methodology to be applied to a case study on the logical computer security of the Operating System AIX version 4.2. The thesis is divided into 5 chapters, from which chapters 1 and 2 contemplate the theoretical framework that correspond to the basic theory of audit to the IT and BP and presents theory on Logical Security that allows organizations to minimize their risks. In the Chapter 3 presents the outstanding illegality of access stories that have affected logical computer security. In chapter 4 is shown the audit methodology to the IT and BP proposed. Chapter 5 describe the way a work program was designed and applied to the Logical Security of the Operating System AIX version 4.2. Subsequently the results were obtained and the corresponding report of audit was elaborated. In the end, conclusions obtained and the bibliography used are showed. The limitations of the study of this thesis are that it does not contemplate the theory on Physical Security and that it s highly important to understand and apply the control points when an audit component is carried out to any component (hardware, networks and telecommunications, software of systems, data bases, application systems, business systems). It is important to mention also that due to the extensiveness of audit to the IT and PB environment some of the areas or components could be audited as needed. Therefore it is recommended to select the component be selected according to the judgment of the entity audited or the higher risks. For the proposes of this thesis, only the component of the operating system AIX version 4.2 was selected.

15 1 Introducción La pérdida de imagen, dinero, clientes o hasta la ruina financiera y económica de algunas organizaciones, en gran medida se debe por una débil arquitectura de seguridad o un mal diseño de la misma creando verdaderos retos para los accionistas, directores de organizaciones, gerentes y todo aquel profesional que esté involucrado en las Tecnologí as de Información (TI) y los Procesos de Negocio (PN). A finales del siglo XX y a principios del XXI emergieron diferentes corrientes sobre las Tecnologí as de Información y de Procesos de Negocio, como son: las computadoras inalámbricas, sistemas operativos abiertos, sistemas cliente servidor, el Internet 2, así como el mundo de los e- Business, e-commerce, e-learning, e-health, e-voting, e-government, e-móvil, entre otros. Por otro lado, los diferentes sistemas emiten información y se considera que es el activo más importante que poseen tanto las organizaciones como los individuos, la información debe ser confiable, oportuna e í ntegra, así que las corrientes que están emergiendo en las TI y PN como la protección de la información necesita fuertes esquemas de seguridad lógica. Teniendo en cuenta los cambios tecnológicos tan rápidos y anteriormente descritos, se ha desarrollado esta tesis con el nombre de METODOLOGÍA DE LA AUDITORÍA A LA SEGURIDAD LÓGICA DEL SISTEMA OPERATIVO AIX VERSIÓN 4.2 El proyecto se basó en una exhaustiva investigación bibliográfica, para el caso práctico se investigó, elaboró, diseñó y aplicó un programa de trabajo de Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2 en una organización real. Para llevar acabo la auditorí a se integró un equipo de trabajo con personal del área de Auditorí a a las TI y PN, el área de Informática de la misma organización y personal técnico de IBM. Planteamiento del Problema Un problema frecuente es que no existe en las organizaciones un esquema de seguridad lógica óptimo; o si existe no esta definido adecuadamente o actualizada oportunamente para contrarrestar los diferentes ataques; tanto por personal interno como externo. Otro problema es, que cuando se instala por primera vez o actualiza el sistema operativo la mayorí a de las veces no sé parametriza de acuerdo a las necesidades de la organización, asimismo, para el mantenimiento (alta, baja y cambio de usuarios, entre otros) no se realiza de manera oportuna. 2 Antecedentes - La Auditorí a en Sistemas o en Informática ahora llamada Auditorí a a las Tecnologí as de Información y Procesos de Negocio, debió haber surgido desde que las computadoras y los sistemas que soportaban las operaciones se empezaron a utilizar por primera vez (Primera generación de computadoras ) en las diferentes organizaciones, pero esta disciplina empezó a ser reconocida en nuestro paí s en la década de los 80s, cuando las computadoras de la cuarta generación ya tení an algunos años de haber sido utilizadas. Las computadoras de la cuarta generación que fueron comercializadas desde el año de 1971 ya contaban con microprocesadores, chips de memoria y miniaturización y se podí an clasificar en supercomputadoras, minicomputadoras y microcomputadoras. Las organizaciones del sector privado y público soportaban sus operaciones del negocio -producción, inventarios, recursos humanos, nóminas, ventas, compras, entre otros- a través de éstas, por lo que la disciplina de Auditorí a a las Tecnologí as de Información y Procesos de Negocio se tornó necesaria. Después, siguió el lápiz óptico, tableta digitalizadora, reconocimiento de voz, pantallas sensibles al tacto, scanners, diferentes sistemas operativos, múltiples lenguajes de programación, así como diferentes tipos de software de uso general que tienen integrados todos los módulos de negocio de las organizaciones (finanzas, contabilidad, recursos humanos, nóminas, producción, inventarios, transferencias bancarias, etc.) entre los que se encuentran, JDEdwars, SAP que son denominados como ERP s. (Enterprise Resource Planning). En el año de 1993 el fí sico Tim Berners-Lee de la organización Conseil Européen pour la Recherche Nucleaire (CERN) - Laboratorio Europeo para la Fí sica de las Partí culas - inventó la World Wide Web (WEB). Éste descubrimiento trajo consigo una forma diferente de interconexión de servidores y por lo tanto una manera diferente de hacer negocios

16 en lí nea. La nueva forma de operar en las organizaciones, tanto por ví a WEB como de la manera tradicional, hacen que el auditor en las Tecnologí as de Información y Procesos de Negocio juegue un papel relevante, ya que una de sus tareas principales es la evaluación de controles de los accesos a los recursos computacionales como son al hardware, redes y telecomunicaciones, software de sistemas, bases de datos, sistemas que soportan las operaciones de los negocios y sistemas para la toma de decisiones. Con base a está evaluación se puedan minimizar los riesgos evitando que los recursos sean destruidos, alterados, consultados o modificados por personas internas o externas. 3 Justificación Por lo tanto las organizaciones nacionales y trasnacionales (pequeñas, medianas y grandes) que posean Sistemas de Tecnologí as de Información y Procesos de Negocio, deben de someterse a evaluaciones para determinar el nivel de Seguridad Lógica en sus sistemas operativos. Ya que la mayorí a de las organizaciones tienen su información en sistemas computacionales, de aquí, la vital importancia de que los sistemas de información cuenten con medidas de seguridad adecuadas. El éxito de una organización depende de la eficiencia de sus sistemas, una organización puede tener un staff de gente de primera, pero si tiene un sistema informático sin medidas de seguridad lógica mí nimas y si voluntaria o involuntariamente sufre un ataque a sus recursos computacionales, esto le puede ocasionar pérdida de imagen, dinero, clientes y hasta llevarla a la ruina financiera; a la organización le constará más trabajo salir adelante o quizá nunca saldrá. Objetivos planteados Objetivo general Diseño de un programa para aplicar la Metodologí a de la Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2. Objetivos especí ficos Estudiar y comprender el perí metro de seguridad lógica Comprender el área o componente que se va auditar Analizar y tomar decisiones para determinar que puntos van a ser considerados en el programa de estudio Seleccionar los procedimientos de auditorí a Elaborar el programa de auditorí a Aplicar el programa y obtener los resultados Presentar el esquema sobre una Arquitectura de Seguridad Lógica para que las organizaciones puedan minimizar sur riesgos. Alcance y limitaciones del Estudio - Los capí tulos 1 y 4 corresponden a la Teorí a sobre la Auditorí a a las TI y PN y a la Metodologí a propuesta, éstos capí tulos son fundamentales y se recomienda que sean estudiados y comprendidos antes de iniciar una Auditorí a. Cabe aclarar, que la tesis no contempla teorí a sobre Seguridad Fí sica y que es de suma importancia de comprenderla cuando se realiza una evaluación. Debido a que es tan amplio el ámbito del auditor ya que puede evaluar hardware, redes y telecomunicaciones, sistemas operativos, plataformas de software de 4 sistemas, bases de datos, sistemas que soportan las operaciones del negocio y sistemas para la toma de decisiones, entre otros componentes o áreas, se pueden auditar algunos pero no todos a la vez, por lo que se recomienda seleccionar aquel componte o área que tenga mayor riesgo. Cabe enfatizar que en esta tesis solo se va a explicar como se puede auditar el Sistema Operativo AIX versión 4.2 desde el punto de vista de seguridad Lógica. Resumen de los capí tulos El CAPÍTULO 1 hace alusión a la Teorí a sobre la Auditorí a a las Tecnologí a de Información (TI) y Procesos de Negocio (PN) enfatizando en la estructura, planeación estratégica, táctica, operacional y marco de trabajo así como también se detallan conceptos sobre el control interno, riesgos y exposiciones, código de ética, estándares de auditoria, normas y procedimientos de organismos que están regulando la función, entre otros aspectos de importancia.

17 El CAPÍTULO 2 comenta sobre los Fundamentos de Seguridad Lógica para minimizar los riesgos en las Organizaciones, poniendo énfasis en definiciones de seguridad lógica, amenazas humanos y métodos comunes a que están expuestos los recursos computacionales, propuesta de arquitectura de seguridad para que las organizaciones puedan minimizar sus riesgos, conceptos básicos para implementar un esquema de seguridad en la red, entre otros aspectos. En el CAPÍTULO 3 se presentan historias de accesos ilegales sobresalientes que han afectado la seguridad lógica, poniendo atención especial en los antecedentes, hackers y prackers famosos, historias de páginas web modificadas en el ámbito internacional y nacional. El CAPÍTULO 4 describe la Metodologí a de la Auditorí a a las TI y PN, donde se detallan las definiciones, tipos y clases, metodologí a propuesta de auditorí a a las TI y PN, tipos de evidencia, así como las técnicas asistidas por computadora más usadas. Por último, el CAPÍTULO 5 contempla los pasos a seguir para la elaboración y aplicación de un Programa de Trabajo de Auditorí a a la Seguridad Lógica del Sistema Operativo AIX versión 4.2 poniendo énfasis entre otros aspectos, en la comprensión general del negocio, elaboración del programa de auditorí a, la razón del porqué se auditó el sistema operativo AIX versión 4.2, alcance del programa, objetivo y los ataques a los cuales se enfocó más la revisión, así como también se presenta 5 el programa general y detallado para verificar la seguridad lógica del sistema operativo AIX versión 4.2 y los resultados de la evaluación a través de un informe ejecutivo y otro técnico. Finalmente se incluyen las conclusiones que contestan a los objetivos planteados, las referencias bibliográficas utilizadas y las páginas web consultadas para la realización de esta tesis. Nota: Para no repetir la palabra en el transcurso de la tesis de Tecnologí as de Información y Procesos de Negocio cuando se utilicen estos términos se identificaran como TI y PN. 6 7 CAPÍTULO Teorí a sobre la Auditorí a a las Tecnologí as de Información y Procesos de Negocio Posiblemente lo más importante que las organizaciones deben entender hoy en dí a, es que no es la era Industrial, sino la era de la información y del conocimiento, por lo tanto, el cliente juega un papel importante. El consumidor más que nunca tiene acceso a más información; incluso se podrí a hablar de que nos estamos acercando a mercados perfectos y por tanto se debe estar consciente del valor de la información que se genera a través de los sistemas computacionales, ya que ésta puede agruparse con otros consumidores con el fin de conseguir mejores precios en el mercado o incluso para forzar el desarrollo de nuevos productos que mejoren la oferta estándar de los proveedores. Tratar a este tipo de cliente es distinto de tratar al cliente que tiene que adaptarse a una oferta que se presenta en lugares geográficos especí ficos como; tiendas, supermercados, hipermercados, entre otros sitios. El juego no consiste sólo en que las organizaciones deben conseguir la fidelidad de sus clientes, sino que para venderles algo deben demostrarles un alto poder de servicio y además deben hacerlo las 24 horas del dí a. Para realizar las ventas ví a Internet (e-business e-commerce) o por teléfono móvil (e-movil) los clientes alrededor del mundo están a sólo un clic de distancia para realizar las transacciones, lo importante para las organizaciones es retener a los clientes, quienes buscarán a aquellos que les den soluciones de negocio que les aporten verdadero valor agregado, a aquellas que se ganen su confianza a través de soluciones claras y cuanto más personalizadas mejor; lo anterior,

18 hace que se deba siempre mantener un nivel alto de seguridad lógica en las organizaciones. Para llegar a lograr un nivel alto, primero se va a describir en términos generales que es la Estructura de las Tecnologí as de Información y Procesos de Negocio y otros conceptos relacionados, como: control interno, riesgos y exposiciones, asociaciones de auditorí a y control de tecnologí a de información, estándares, organismos internacionales, así como los objetivos de control de información relacionados a la tecnologí a, entre otros aspectos de relevancia. 1.1 Estructura de las Tecnologí as de Información y Procesos de Negocio 10 Para que una organización pueda operar en forma efectiva se sugiere que se segmente en dos grandes divisiones; una netamente tecnológica y otra para dar soporte a los negocios; éstas deben estar relacionadas entre sí. A la parte tecnológica se le dominará como Tecnologí a de Información y a la parte de soporte a los negocios como Procesos de Negocio.1 La Tecnologí a de Información incluye: hardware, redes y telecomunicaciones, plataformas de sistemas operativos y plataformas de software de sistemas y la de Procesos de Negocio incluye: bases de datos, sistemas que soportan las operaciones del negocio y sistemas para la toma de decisiones. A continuación se presenta la gráfica donde se muestran las diferentes capas de las TI y PN. Gráfica 1.1 División de la tecnología computacional Las 6 capas son el pilar de la Informática en cualquier organización. Para que cada capa esté dando los resultados deseados se necesitan 3 elementos relacionados a la seguridad lógica, éstas son: Definir estrategias y polí ticas, monitoreo de eventos, y proporcionar soluciones tecnológicas. En párrafos posteriores donde se describe el marco de trabajo se explicaran éstos elementos. 1.2 Planeación estraté gica, táctica y operacional Todas las organizaciones deben contar con 3 tipos de planeación: estratégica, táctica y operacional. Cabe hacer mención que los 3 tipos de planeación deben estar alineados a los objetivos de la organización Global Best Practices Arthur Consulting, p.8-10 Pla ta fo rmas d e sistema s o p e ra tiv o s Pla ta fo rma d e hardw a re, red e s y te lec om. Pla ta fo rmas d e so ftwa re d e s is tem a s Man e ja d o re s d e b as e s d e d a to s S istem as q u e s o p o rta n la s o p e ra c io n es d e l n eg o c io S istem as p ara la toma d e d e c is io n e s Pro c e so s d e Ne g o c io T ec n o lo g ía d e In fo rmac ió n 11 Planeación Estratégica es donde se definen la misión, visión y objetivos a largo plazo de la organización. Se recomienda que participen los ejecutivos de primer nivel así como los accionistas para que definan en conjunto el rumbo de la organización. Se recomienda tener una proyección estratégica de cinco a diez años. Planeación Táctica es donde se transmite a los directores y gerentes de área la misión, visión y objetivos que se han establecido a largo plazo y con base en éstos se deben definir los objetivos a mediano plazo para que puedan adecuarse a las áreas del negocio. Los objetivos por área se deben planear para ser cumplidos en un lapso de uno a cinco años. Planeación Operacional es donde se transmite a los supervisores o jefes de área los planes a mediano plazo para que con base a éstos ellos definan los objetivos a corto plazo con el personal operativo. Los objetivos por departamento se deben planear para cumplirse en un lapso de una semana a un año. Una vez que es definida la planeación estratégica, técnica y operacional y para que el área de TI y PN pueda operar se debe elaborar un documento que debe soportar el marco de trabajo. En la siguiente gráfica se muestra lo que debe de contener el documento de marco de trabajo. Marco de trabajo Actividades Conjunto de Tareas Estrategias y Polí ticas

19 Monitoreo de Eventos Soluciones Tecnológicas Las 6 áreas deben de contar con un óptimo Esquema de Seguridad Gráfica 1.2 Procesos clave relacionados al marco de trabajo 12 El marco de trabajo de un área de TI y PN requiere una serie de actividades, las cuales deben estar relacionadas con un conjunto de tareas, pero para que sé realicen correctamente se necesita que sean conocidos y aplicados por todo el personal de la organización. Por lo que se recomienda que se establezcan las siguientes actividades. Estrategias y polí ticas. Son indispensables para mantener el control en las organizaciones. Las estrategias son acciones orientadas al medio ambiente externo. Las polí ticas están alineadas a las estrategias y generalmente se orientan al interior de la organización. Monitoreo de eventos. Procesos reactivos que son capaces de medir y administrar situaciones; también pueden monitorear polí ticas que fueron implantadas y como se han seguido. Con el monitoreo de eventos se puede identificar cuando las polí ticas necesiten cambiarse, eliminarse o la elaboración de nuevas polí ticas. Soluciones tecnológicas. Las tecnologí as necesitan proveer protección apropiada y soporte tanto a procesos crí ticos como no crí ticos, así como al hardware. En resumen, las 6 capas presentadas anteriormente pueden ser sujetas a una auditorí a. Siendo tan amplio el campo de acción por los Auditores en TI y PN, se ha forzado a la mayorí a de las organizaciones a repensar sus necesidades de seguridad lógica para que sus recursos computacionales estén protegidos. Por ejemplo, el deseo de tener accesos abiertos de información como es el caso de e- Business puede incrementar robos dentro y fuera de la organización. Este conflicto no puede resolverse fácilmente usando conceptos y prácticas de seguridad lógica tradicional. Esto requiere un estudio detallado de los riesgos del negocio con una combinación de técnicas de seguridad lógica actuales y aplicables. Este es uno de tantos problemas que enfrentan las organizaciones. Para las personas interesadas en auditorí a en TI y PN no experimentadas es conveniente que conozcan las definiciones que se presentan a continuación Definiciones de polí ticas, estándares, normas, procedimientos y estrategias Polí ticas: Son documentos breves relacionados a las TI y PN; proporcionan la autoridad necesaria para establecer estándares en ejecución y darles solución especifica. En general, las polí ticas 13 siguen siendo relevantes y aplicables por un perí odo del tiempo substancial y requieren revisiones periódicas2 Estándares: Deben estar relacionados a las TI y PN o de alguna solución especí fica y proporcionan criterios más medibles para satisfacer los objetivos de alto nivel definidos por las polí ticas.3 Normas: Documento establecido por consenso y aprobado por un organismo reconocido, que suministra para uso común y repetido reglas, lineamientos o actividades, con el propósito de alcanzar el grado óptimo de orden en un contexto dado. Procedimientos. Sucesión. Serie de cosas que siguen una a otra. Estrategias. Patrón de una serie de acciones que ocurren en el tiempo. 1.3 Control Interno El entorno en que se encuentran las organizaciones operando ha cambiado significativamente durante los últimos años y este paso parece acelerarse cada vez más. Se ha visto como ha cambiado la manera de hacer negocios no solo en las organizaciones del paí s sino en el ámbito global, prácticamente se puede hacer negocio sin fronteras. En este sentido, la visión, misión y objetivos de la organización, así como sus métodos de trabajo los recursos humanos y la tecnologí a se vuelven elementos clave para el éxito y por lo tanto un modelo de Control Interno óptimo juega un papel importante. Por lo anterior, el concepto de Control

20 Interno demanda la atención no solo de los auditores sino también de los altos directivos de las Organizaciones. Un sistema de Control Interno es necesario en cualquier organización ya que provee disciplina, consistencia y lineamientos para la conducción de las organizaciones. Los controles internos deben de ser prácticos, también podrí an ayudar a prevenir, detectar y corregir errores, omisiones e irregularidades. 2 Matt Caston, Director Program Development Practice, mcaston@metasecuritygroup.conferencia idem 14 Un sistema de control interno puede cubrir controles tanto contables, administrativos e informática y compromete planes, métodos y procedimientos adoptados por una organización para cubrir, entre otros aspectos, los siguientes: Salvaguarda de activos y registros Verificar la exactitud y confiabilidad de datos contables Promover la eficiencia y efectividad operacional Manejo de polí ticas, procedimientos y estándares, y Cumplir con las leyes y regulaciones Definiciones, objetivos y prá cticas y procedimientos de control Según Ron Weber el control, los objetivos y las prácticas y procedimientos del control significan lo siguiente.4 Control. Cualquier acción tomada por la alta gerencia, se recomienda que éstas acciones estén alineadas a los objetivos, metas y misión de la organización. Objetivos de Control. Son las intenciones administrativas de que los controles se apliquen para lograr los objetivos organizacionales. Prácticas y procedimientos de control. Ayudan a alcanzar los objetivos de control deseado, los cuales cuando se llevan a cabo pueden prevenir, detectar y corregir errores, omisiones e irregularidades que ocurran en áreas de las TI y PN Categorí as del control Acorde al estudio de Committee Sponsoring Organizations of the Treadway Commission (COSO), existen dos categorí as: Los controles de tecnologí a o generales y los controles de aplicación. 4 Ron Weber, Information Systems Control and Auditby, Publisher: Prentice Hall; 1 edition October 29, p Los controles generales aseguran la continuidad de la operación y los controles de aplicación incluyen pasos automatizados dentro del software de aplicación. A continuación se describen.5 Nota: Existe una relación entre los controles generales y los controles de aplicación, esta relación es que los controles generales son necesarios para soportar el funcionamiento de los controles de aplicación y ambos son indispensables para asegurar el completo y correcto procesamiento Controles generales Comúnmente incluyen controles sobre operaciones del centro de procesamiento de datos, software de sistemas, sistemas operativos y utilitarios, seguridad de acceso (lógica y fí sica), desarrollo, adquisición y mantenimiento de sistemas y también incluye la parte de administración del departamento de informática. Son aplicables a todas las plataformas de mainframe, mini computadoras y ambientes de computación de usuario final, a continuación se describen algunos de éstos controles. Operaciones del centro de cómputo. Los trabajos de operador incluyen por ejemplo, set up, scheduling recuperación, respaldos, planes de contingencia, entre otros. Software de sistemas. Incluyen la adquisición, implantación y mantenimiento del software de sistemas (ejemplo, sistemas operativos, sistemas de administración de base, software de telecomunicaciones, software de seguridad y programas utilitarios), los cuales corren en el sistema y permiten las funciones de las aplicaciones. Seguridad de accesos. Están asumiendo gran importancia sobre las telecomunicaciones y redes, debido a su rápido avance tecnológico. Los controles de seguridad de accesos efectivos pueden