1

FACULTAD DE INGENIERA ESCUELA DE INGENIERA DE SISTEMAS Y COMPUTACIN

AUDITORA INFORMTICA Y LOS SISTEMAS DE INFORMACIN

Autor: Pedro R. Llncor Ubills

Curso: Metodologa del Trabajo Intelectual Profesor: Gerardo Ral Chunga Chinguel Semestre Lectivo: 2014-0
Chiclayo - Per Enero, 2014

DEDICATORIA
A Rinflas ....

AGRADECIMIENTO
A Dios por permitirme llegar hasta aqu. A mis padres por su confianza en cada proyecto emprendido. A Gerardo Chunga por todos los conocimientos compartidos y por su valioso tiempo dedicado a este trabajo de monografa.

RESUMEN
En la actualidad hay un enorme crecimiento tecnolgico, tanto en las TI como en los SI, y por consiguiente las probabilidades de que nuestros sistemas o nuestra informacin puedan ser vulnerados, robadas o manipuladas se acrecienta cada da ms. De todo la informacion que se logro recopilar en esta monografa se podemos mostrarles a la Auditora Informtica como una herramienta indispensable, ya que gracias a una revisin peridica o no tanto los sistemas informticos propiamente dichos (bases de datos, redes internas, servidores), podemos realizar un anlisis de riesgos basndose en normas y herramientas aplicables y legalizadas con el fin de obtener un reporte de los posibles errores o fallas que pueda tener la empresa.

TABLA DE CONTENIDOS

AUDITORA INFORMTICA Y LOS SISTEMAS DE INFORMACIN DEDICATORIA AGRADECIMIENTO RESUMEN TABLA DE CONTENIDOS INTRODUCCIN CAPTULO I: Seguridad Informtica 1.1. Definicin 1.3. Proteccin de Datos CAPTULO II: reas de Auditora Informtica 2.1. Auditora Fsica: 2.2. Auditora Ofimtica 2.3 Auditora de Base de Datos 2.4 Auditora de Redes 2.5 Auditora de Aplicaciones CAPTULO III: Seguridad de Informacin CAPTULO IV: Estndares de la Seguridad de Informacin ISO/IEC 27000-series: COBIT: ITIL: CONCLUSIONES REFERENCIAS BIBLIOGRFICAS

INTRODUCCIN
Hoy en dia los temas relativos a la auditora informtica cobran cada vez ms relevancia, tanto a nivel nacional como internacional, debido a que la informacin se ha convertido en el activo ms importante de las empresas, representando su principal ventaja estratgica, por lo que stas invierten enormes cantidades de dinero y tiempo en la creacin de sistemas de informacin con el fin de obtener la mayor productividad y calidad posibles. El objetivo de esta monografa es dar a conocer al personal de una empresa en todas sus jerarquas la importancia que tiene una Auditoria Informatica dentro de ella, puesto que esto le llevar a conocer sus debilidades y fortalezas y a su vez les brindara una mayor objetividad de la canalizacin de recursos humanos, tecnolgicos y econmicos dentro de ella. Asimismo la empresa obtendr soluciones enfocados a los recursos reales de la empresa mediante la aplicacin de algunas herramientas informticas. Para la obtencin de un resultado satisfactorio a la empresa es que esta Monografa ha sido estructurada en cuatro captulos. El primero se denomina Seguridad Informtica, el segundo hablaremos sobre algunas de las reas de la Auditora Informtica, el tercero Seguridad de Informacin y como captulo final hablaremos sobre algunos Estndares sobre Seguridad de Informacin. El primer captulo hablar sobre la importancia de los sistemas de informacin y su repercusin en el mundo actual. El segundo captulo detalla algunas de las reas de la Auditora Informtica y los Sistemas de Informacin, en el tercer captulo se proporciona un listado de ROA en Per, Sudamrica y el Mundo.; y finalmente

CAPTULO I: Seguridad Informtica

1.1. Definicin
Se entiende por seguridad informtica al conjunto de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la informacin que reside en un sistema de informacin. Cada da ms y ms personas mal intencionadas intentan tener acceso a los datos de nuestros ordenadores.
1

El acceso no autorizado a una red informtica o a los equipos que en ella se encuentran pueden ocasionar en la gran mayora de los casos graves problemas. Uno de las posibles consecuencias de una intrusin es la prdida de datos. Es un hecho frecuente y ocasiona muchos trastornos, sobre todo si no estamos al da de las copias de seguridad. Y aunque estemos al da, no siempre es posible recuperar la totalidad de los datos. Otro de los problemas ms dainos es el robo de informacin sensible y confidencial. La divulgacin de la informacin que posee una empresa sobre sus clientes puede acarrear demandas millonarias contra esta, o un ejemplo ms cercano a usted es el de nuestras contraseas de las cuentas de correo por las que intercambiamos informacin con otros. Con la constante evolucin de las computadoras es fundamental saber qu recursos necesitamos para obtener seguridad en los sistemas de informacin. La informacin se ha convertido en un insumo comercial para las grandes empresas, corporaciones, centros de estudios, gobiernos en red, etc., por lo que la estructura de informacin constituye un reto para las sociedades desarrolladas que compiten entre s por conectar en una red nacional a todas sus entidades estatales y privadas, dependencias de gobierno y hasta el hogar. El eje de desarrollo de estas infraestructuras de informacin por lo general es Internet. A travs de Internet se propicia el intercambio telemtico de informacin entre empresas o entre empresas y consumidores, intercambio que genera relaciones comerciales, conocidas como comercio electrnico, incluyendo la publicidad, la bsqueda de
1

http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridad-informatica.shtml

7 informacin sobre productos o proveedores, la negociacin entre comprador y vendedor sobre las condiciones de la transaccin, as como la atencin al cliente antes y despus de la venta.

Salvaguarda activos

Daos Destruccin Uso no autorizado Robo Oportuna Precisa Confiable Completa Contribucin de la funcin Informtica Utiliza los recursos adecuadamente en el procesamiento de la informacin.

Mantiene la Integridad de los datos Alcanza Metas Organizacionales Consume recursos eficientemente

La informacin en todas sus formas y estados se ha convertido en un activo de altsimo valor que se debe proteger y asegurar para garantizar su integridad, confidencialidad y disponibilidad. Es por ello que cada entidad que emplea sistemas informticos debe implementar programas informticos apropiados que garanticen la seguridad de la informacin almacenada en sus computadoras, pues la misma no slo es dependiente de la integridad de los mecanismos de proteccin basados en el hardware y el software de la propia computadora, sino de la consistencia con que los usuarios hagan uso de estos mecanismos.

1.3. Proteccin de Datos

Una auditora de proteccin de datos es una revisin de nuestra empresa a los efectos de detectar si se cumple con todas las medidas que requiere la propia normativa de proteccin de datos. Segn la Ley Orgnica 15/1999, de 13 de diciembre, debe efectuarse cada dos aos en toda empresa o entidad que trate datos a partir de nivel medio o cuando se haya producido un cambio estructural u organizativo importante.

8 La seguridad en las comunicaciones se ha convertido en un tema de continua actualidad, por lo que en los ltimos aos ha adquirido un gran auge el estudio de las bases tericas y de las implementaciones prcticas para asegurar la confidencialidad en el intercambio de informacin. brinda la oportunidad de ponerse en contacto con algunos de los mtodos y servicios que tienen por objetivo mantener la seguridad, confidencialidad y autenticidad en la transmisin de mensajes, as como los mtodos desarrollados para romper la intimidad en tales comunicaciones

CAPTULO II: reas de Auditora Informtica

Las reas que abarca la Auditora Informtica son: - La Auditora Fsica. - La Auditora de la Explotacin. - La Auditora de la Calidad. - La Auditora Ofimtica. - La Auditora de la Direccin. - La Auditora del Desarrollo. - La Auditora de Base de Datos. - La Auditora de Redes. - La Auditora de Aplicaciones. - La Auditora de Mantenimiento. Pero solo mencionaremos las ms resaltantes. 2.1. Auditora Fsica: En esta rea se proporciona evidencia del nivel de la seguridad fsica en el mbito en el que se va a desarrollar la actividad profesional, no limitndose a comprobar que existen los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad. La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales en un centro de procesamiento de informacin. Existen tres momentos para responder ante una falla en esta rea, relacionados con la cronologa de la misma: Antes Obtener y mantener un grado de seguridad adecuado, por medio de un conjunto de acciones que eviten el fallo o disminuyan sus efectos. Es un concepto general aplicable a cualquier actividad en la que personas hagan uso de entornos fsicos. Ubicacin del edificio Ubicacin del centro de procesamiento dentro del edificio

9 Divisin Elementos de construccin Potencia elctrica Sistemas contra incendios Control de accesos Seguridad de los medios Medidas de proteccin Duplicacin de medios

Durante Ejecutar un plan de contingencia adecuado, el cual realice un anlisis de riesgos de sistemas crticos, establezca un periodo crtico de recuperacin (del desastre), realice un anlisis de aplicaciones crticas, establezca prioridades y objetivos de recuperacin, designe un Centro Alternativo de Procesamiento, y asegure la capacidad de las comunicaciones y de los servicios de back-up. Despus Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las prdidas, gastos o responsabilidades que se pueden derivar para el Centro de Procesamiento de Informacin una vez detectado y corregido el fallo. Entre algunos tipos de seguros estn: Centro de proceso y equipamiento Reconstruccin de medios de software Gastos extra Interrupcin del negocio Documentos y registros valiosos Errores y omisiones Cobertura de fidelidad Transporte de medios Contratos con proveedores y de mantenimiento 2.2. Auditora Ofimtica La Ofimtica se define como los programas o aplicaciones que en conjunto sirven de herramienta para generar, procesar, almacenar, recuperar, comunicar y presentar la informacin en un lugar de trabajo, as como de forma domstica El software de ofimtica comprende una serie de aplicaciones que se distribuyen de forma conjunta para as mismo ser empleadas simultneamente en diversos sistemas. Usualmente estas herramientas de ofimtica incluyen: Aplicaciones de productividad personal Administradores de Bases de Datos Hojas de clculo

10 Procesadores de Textos Presentadores de ideas Grficos

Existen dos caractersticas a analizar de los entornos ofimticos: la distribucin de las aplicaciones por los diferentes departamentos de la organizacin en lugar de centralizarse en una nica ubicacin, y el traslado de la responsabilidad sobre ciertos controles de los sistemas de informacin a usuarios finales no dedicados profesionalmente a la informtica, quienes pueden no comprender de un modo adecuado la importancia de stos y la forma de realizarlos. Como consecuencia de esto, se ha generado la siguiente problemtica: adquisiciones poco planeadas, desarrollos ineficaces e ineficientes, falta de conciencia de los usuarios acerca de la seguridad de los sistemas de Informacin, utilizacin de copias ilegales de aplicaciones, procedimientos de copias de seguridad deficientes, escasa formacin del personal, falta de documentacin suficiente, etc. Los controles de auditora bsicos que pueden aplicarse en este entorno son los siguientes: Economa, eficacia y eficiencia 1. Determinar si el inventario ofimtico refleja con exactitud los equipos y aplicaciones existentes en la organizacin 2. Determinar y evaluar el procedimiento de adquisiciones de equipos y aplicaciones 3. Determinar y evaluar la poltica de mantenimiento definida en la organizacin 4. Evaluar la calidad de las aplicaciones del entorno ofimtico desarrollada por el personal de la propia organizacin 5. Evaluar la correccin del procedimiento existente para la realizacin de los cambios de versiones y aplicaciones 6. Determinar si los usuarios cuentan con la suficiente formacin y la documentacin de apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente 7. Determinar si el sistema existente se ajusta a las necesidades reales de la organizacin Seguridad 1. Determinar si existen garantas suficientes para proteger los accesos no autorizados a la informacin reservada de la empresa y la integridad de la misma 2. Determinar si el proceso de generacin de copias de respaldo es fiable y garantiza la recuperacin de informacin en caso de necesidad 3. Determinar si est garantizado el funcionamiento ininterrumpido de aquellas aplicaciones cuya cada podra suponer prdidas de la integridad de la informacin y aplicaciones

11 4. Determinar el grado de exposicin ante la posibilidad de contagio de virus

2.3 Auditora de Base de Datos

La gran difusin de los Sistemas Administradores de Bases de Datos (DBMS Database Management Systems) y la identificacin de los datos como uno de los recursos fundamentales de las empresas, ha hecho que la auditora y control interno de esta rea cobren mayor inters Algunos de los objetivos y tcnicas de control propuestos por ISACA (Information Systems Audit and Control Association), basados en el ciclo de vida de una BD son los siguientes:

1. Estudio previo y plan de trabajo Se debe verificar que: se ha realizado un estudio tecnolgico de viabilidad en el cual se contemplen varias alternativas para alcanzar los objetivos del proyecto, as como anlisis costo-beneficio para cada una de ellas; la alta direccin revisa los estudios y toma la decisin de seguir o no con el proyecto; existe un plan para administrar el proyecto y se sigue; se designa un administrador de la BD. 2. Concepcin de la BD y seleccin del equipo Se debe comprobar que: la metodologa de diseo es aceptable y se utiliza adecuadamente; que existan niveles de seguridad para las diversas clasificaciones de datos; que el equipo se seleccione de acuerdo a un procedimiento riguroso que considere las necesidades de la empresa y los beneficios de los distintos DBMS candidatos, as como el impacto del nuevo SW en el sistema y su seguridad. 3. Diseo y carga Se debe comprobar que: los diseos lgicos y fsicos se realicen correctamente; la definicin de datos incluye asociaciones y restricciones oportunas, especificaciones de almacenamiento y cuestiones relativas a la seguridad; la carga de datos ha sido planificada para evitar prdida de informacin; se realizan pruebas en paralelo y se aplica un control estricto de errores; los datos se validen y corrijan lo ms cerca del punto de origen posible 4. Explotacin y mantenimiento Se debe comprobar que: se establecen procedimientos de explotacin y mantenimiento que aseguran que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas se modifica slo con la autorizacin adecuada; se realiza un proceso de ajuste (tuning) y optimizacin adecuados 5. Revisin post-implantacin Se debe evaluar si: se han conseguido los resultados esperados; se satisfacen las

12 necesidades del usuario; los costos y beneficios coinciden con los previstos Es requisito para la auditora de un DBMS que la causa y efecto de todos los cambios de la BD sean verificables, por lo que se debe verificar que se utilicen las herramientas proporcionadas por el propio DBMS y las polticas y procedimientos que sobre su utilizacin haya definido el administrador.

2.4 Auditora de Redes

Todos los sistemas de comunicacin, desde el punto de vista de auditora, presentan una problemtica comn: la informacin transita por lugares fsicamente alejados de las personas responsables. Esto presupone un compromiso en seguridad, ya que no existen procedimientos fsicos para garantizar la inviolabilidad de la informacin. En las redes, por causas propias de la tecnologa, pueden producirse bsicamente tres tipos de incidencias: alteracin de bits, ausencia de tramas y alteracin de la secuencia. Los tres mayores riesgos a controlar son la indagacin (un tercero puede leer la informacin), suplantacin (un tercero introduce un mensaje falso que el receptor cree proviene del emisor legtimo) y la modificacin (un tercero altera el contenido de un mensaje) El primer punto de una auditora de comunicaciones es determinar que la funcin de administracin de redes y comunicaciones est claramente definida, y que exista (entre otros): una gerencia de comunicaciones con autoridad para establecer procedimientos y polticas; procedimientos y registros de inventarios y cambios; funciones de vigilancia y uso de la red, ajustes a rendimientos, registro de incidencias y resolucin de problemas; procedimientos para el seguimiento al costo de las comunicaciones y su adecuada distribucin a las reas adecuadas; monitoreo de uso de la red para realizar mejoras en rendimiento; planes de comunicacin a largo y corto plazo, incluyendo estrategias de comunicaciones de voz y datos; normas para el tipo de equipo que puede ser instalado en la red; procedimientos de autorizacin para conectar nuevos equipos a la red En la auditora de la red fsica debe analizarse hasta qu punto las instalaciones fsicas de los edificios ofrecen garantas y han sido estudiadas las vulnerabilidades existentes. Debe comprobarse que los accesos fsicos desde el exterior han sido registrados y que desde el interior del edificio no se intercepte fsicamente el cableado. En caso de desastres debe poder comprobarse cul es la parte del cableado que puedes seguir funcionando y qu actividad puede soportar. Algunos de los objetivos de control de esta rea son los siguientes, los cuales deben asegurar la existencia de: reas controladas para los equipos de comunicaciones para prevenir accesos no autorizados; proteccin y tendido adecuado de cables y lneas de comunicaciones para evitar accesos fsicos; controles de utilizacin y monitoreo de la red

13 y su trfico; controles especficos en caso de que se utilicen lneas telefnicas con acceso a red de datos para prevenir accesos no autorizados. En el aspecto lgico, es necesario monitorear la red, revisar errores que se producen y tener establecidos procedimientos para detectar y aislar equipos que presenten comportamiento inadecuado. Como objetivos de control, se debe marcar la existencia de: contraseas y otros procedimientos para limitar y detectar cualquier intento no autorizado a la red; facilidades de control de errores para detectar errores de transmisin y establecer las retransmisiones apropiadas; controles para asegurar que las transmisiones van solamente a usuarios autorizados; registro de la actividad de la red para ayudar a reconstruir incidencias y detener accesos no autorizados; tcnicas de cifrado de datos donde existan riesgos de accesos no autorizados a transmisiones confidenciales; pruebas peridicas donde se simulen ataques para descubrir vulnerabilidades, documentando los resultados y corrigiendo las deficiencias encontradas.

2.5 Auditora de Aplicaciones

Las aplicaciones en funcionamiento se auditan para verificar el grado de cumplimiento de los objetivos para los que fueron creadas. Algunas de las herramientas de uso ms comn en la auditora de una aplicacin son: Entrevistas. Se realiza al personal que utiliza el sistema y que puede aportar ms al propsito pretendido. Se debe elaborar un guin previo de temas y apartados a tratar para no dejar por fuera ningn asunto de inters. Durante el desarrollo de la entrevista el auditor tomar las anotaciones imprescindibles Encuestas. Son de utilidad para ayudar a determinar el alcance y objetivos de la auditora as como para materializar los objetivos relacionados con el nivel de satisfaccin de los usuarios. Se debe preparar un cuestionario que pueda ser contestado rpidamente, y que exista un espacio para observaciones. Observacin del trabajo realizado por los usuarios. Es conveniente observar cmo un usuario hace uso de las transacciones ms significativas por su volumen o riesgo, lo que puede ayudar a detectar que aunque existan controles establecidos efectivos, la eficiencia no est en un nivel ptimo debido a vicios o carencias de los usuarios debidos a falta de formacin, o porque se necesita mejorar el diseo para aumentar agilidad y productividad al usar la aplicacin Pruebas de conformidad. Comprobar que determinados procedimientos, normas o controles internos se cumplen y funcionan de acuerdo a lo previsto y esperado. Se deben inspeccionar resultados

14 producidos (registros, documentos, etc) y observacin directa del funcionamiento de un control ante pruebas especficas de su funcionamiento. Pruebas sustantivas o de validacin. Orientadas a detectar la presencia o ausencia de errores o irregularidades en procesos, actividades, transacciones o controles internos integrados en ellos.

CAPTULO III: Seguridad de Informacin

Si bien es cierto que no todos los que hacen uso de la computadora tienen la intencin ni la capacidad de falsear, apropiarse, alterar o daar de algn modo la informacin almacenada, en muchos casos el usuario u operador no tiene plena conciencia de sus responsabilidades en la seguridad de la informacin de que se sirve. Ello puede estar condicionado por el grado de capacitacin que tenga en el uso y explotacin de determinados programas, situacin que puede generar ciertos riesgos como accesos no autorizados, uso no autorizado de programas y, en el peor de los casos, prdida de datos importantes o incluso de programas completos.
En la actualidad gracias a la infinidad de posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el mbito de TI se han visto incrementado bajo estas circunstancias los riesgos informticos son ms latentes . Fraudes. Falsificacin. Venta de informacin. Destruccin de la informacin Gran parte de las empresas de hoy en da, as como gran parte de las personas involucradas en el mundo digital han buscado maneras de dar desarrollo a los sistemas de informacin, enfocados estos en software y hardware que permiten las comunicaciones desde diversas partes del mundo. Es tal el surgimiento y evolucin de los sistemas de informacin que en promedio de 100 familias 97 poseen comunicaciones a travs de Internet, y no solo es la Word Wide Web la que permite ver estos grandes cambio, tambin es la tecnologa que est de por medio como televisores, sistemas de comunicacin inalmbricas, cpu"s, porttiles, entre otros. Es importante por tanto resaltar la importancia que estos sistemas de informacin dan a la sociedad y por tanto la importancia que se les da dentro de medios gubernamentales, polticos, empresariales o educativos; es as como para brindar que la informacin fluya

15 de un lugar a otros sin inconvenientes, existe la seguridad y custodia de datos, y para explicar esto se hablar de la seguridad de la informacin y la auditoria de sistemas. Segn podemos entender como seguridad un estado de cualquier sistema (informtico o no) que nos indica que ese sistema est libre de peligro, dao o riesgo. Se entiende como peligro o dao todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayora de los expertos el concepto de seguridad en la informtica es utpico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas: Integridad: La informacin slo puede ser modificada por quien est autorizado, esto es que no se realicen modificaciones por personas no autorizadas a los datos, informacin o procesos, que no se realicen modificaciones no autorizadas por personal autorizado a los datos, informacin o procesos y que los datos o informacin sea consistente tanto interna como externamente. Confidencialidad: La informacin slo debe ser legible para los autorizados, esto implica el buscar prevenir el acceso no autorizado ya sea en forma intencional o no intencional de la informacin. Disponibilidad: Debe estar disponible cuando se necesita los datos, la informacin o recursos para el personal adecuado. Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autora. Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en seguridad lgica y seguridad fsica. As mismo es importante tener en cuenta ciertos trminos que aclaran que puede tenerse en cuenta al hablar de seguridad informtica, tales son: Activo: recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. Amenaza: es un evento que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Impacto: medir la consecuencia al materializarse una amenaza. Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organizacin. Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una amenaza sobre un activo. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.

16 Desastre o Contingencia: interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de un negocio. Note que riesgo y vulnerabilidad son conceptos diferentes, debido a que la vulnerabilidad est ligada a una amenaza y el riesgo a un impacto. Teniendo en cuenta lo anterior se puede notar que entre los activos ms importantes para una organizacin esta la informacin y por tanto la custodia de la misma, es entonces como la seguridad de la Informacin es el conjunto de metodologas, prcticas y procedimientos que buscan proteger la informacin como activo valioso, con el fin de minimizar las amenazas y riesgos continuos a los que est expuesta, a efectos de asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de inversiones y las oportunidades del negocio. Y en el caso de cada individuo de proteger la identidad y la privacidad

CAPTULO IV: Estndares de la Seguridad de Informacin

ISO/IEC 27000-series:
La serie de normas ISO/IEC 27000 son estndares de seguridad publicados por la Organizacin Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC). La serie contiene las mejores prcticas recomendadas en Seguridad de la informacin para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin (SGSI).

COBIT:
Objetivos de Control para la informacin y Tecnologas relacionadas (COBIT, en ingls: Control Objectives for Information and related Technology) es un conjunto de mejores prcticas para el manejo de informacin creado por la Asociacin para la Auditora y Control de Sistemas de Informacin, (ISACA, en ingls: Information Systems Audit and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT Governance Institute) en 1992. La misin de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del da a da de los gestores de negocios (tambin directivos) y auditores."

17 Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Informacin (o tecnologas de la informacin) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compaas mediante el desarrollo de un modelo de administracin de las tecnologas de la informacin.

ITIL:
La Information Technology Infrastructure Library ("Biblioteca de Infraestructura de Tecnologas de Informacin"), frecuentemente abreviada ITIL, es un marco de trabajo de las mejores prcticas destinadas a facilitar la entrega de servicios de tecnologas de la informacin (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de gua para que abarque toda infraestructura, desarrollo y operaciones de TI.

CONCLUSIONES
A medida que las organizaciones adquieren mayor tamao, y una mayor sensibilidad por el control interno, en la bsqueda de la eficiencia en sus procesos, la necesidad de formalizar la funcin de auditora informtica se hace ms patente. A la hora de formalizar dicha funcin, las organizaciones deben tener muy presentes los objetivos que se plantean con ella, sus necesidades en cuanto a recursos y las diferentes estrategias que se pueden adoptar para ello, sin olvidar la posibilidad de externalizar total o parcialmente la funcin.

18 Una Auditora Informtica no es ms que una auto evaluacin que nos muestra la manera como se esta desarrollando los procesos dentro de nuestra empresa, si los resultados son satisfactorios pues nuestra empresa esta caminando de la mejor manera, pero si los resultados de esta Auditora resultan negativos deberemos tomar las previsiones necesarias para poder dar solucin a las fallas que puedan ocasionar una debilidad dentro de nuestro engranaje empresarial. En la actualidad la tecnologa ya no es exclusivo de las grandes empresas, puesto que hay pequeos negocios bien organizados los cuales tambin hacen uso de recursos tecnolgicos tales como ventas en internet, transferencias bancarias, servicios de help desk, etc, una Auditora Informtica le daria al dueo o empresario un panorama ms claro sobre las fortalezas y por ende tambin alguna vulnerabilidad de su sistema de trabajo.

REFERENCIAS BIBLIOGRFICAS
http://www.monografias.com/trabajos82/la-seguridad-informatica/laseguridad-informatica.shtml http://books.google.es/books?id=gh_jwmkssdYC&printsec=frontcover&hl= es&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false

19

CO EVALUADOR : ELKY VILLACORTA SILVA AN NO REVISADO