a.

Anlisis de riesgo
El anlisis de riesgo es desarrollado con el propsito de determinar cuales de los
activos tienen mayor vulnerabilidad ante factores externos o internos que puedan
afectarlos, identificando las causas potenciales que faciliten o impidan alcanzar los
objetivos, calculando la probabilidad de su ocurrencia, evaluando sus probables
efectos y considerando el grado en que el riesgo puede ser controlado.
Activos del banco
Riesgo
Servidores y
switch

Amenaza
Acceso no autorizado
Corte de luz, UPS
descargado o variaciones de
voltaje
Destruccin de un
componente
Error de configuracin

Factores ambientales
Lmite de vida til
maquinas obsoletas
Mal mantenimiento

Modificacin no autorizada
de datos
Robo

Virus
Base de datos

Baja de datos compleja

Copia no autorizada de un
medio de datos
Errores de software

vulnerabilidad
Robo, modificacin de
informacin
Falta de sistema

Prdida de tiempo por

necesidad de
reemplazo
Aumento de
vulnerabilidades e
inestabilidad en el
sistema
Falta de sistema y
destruccin de equipo
Deterioro en el
performance del
sistema
Interrupciones en el
funcionamiento del
sistema
Inconsistencia de datos,
mala configuracin,
fraude
Perdida de
equipamiento o
informacin
Fallas generales del
sistema y en la red
Desarrollo complejo de
sistemas
Divulgacin de
informacin
Inconsistencias en los
datos

Fallas de base de datos

Falta de espacio de
almacenamiento
Mala configuracin del
schedule de backups
Perdida de confidencialidad
en datos privados y de
sistema
Mala integridad de los datos
Perdida de backups
Portapapeles, impresoras o
directorios compartidos
robo
Sabotaje

Spoofing y sniffing

Transferencia de datos
incorrectos
virus

Software de
aplicacin,
programas y
sistemas
operativos

Acceso no autorizado a
datos
Aplicaciones sin licencia
Error de configuracin
Errores en las funciones de
encriptacin
Falla en el sistema

Mala administracin de
control de acceso

Inconsistencias en los
datos
Falla en la aplicacin
Datos sin backup
Divulgacin de
informacin
Inconsistencias y
redundancia de datos
Incapacidad de
restauracin
Divulgacin de
informacin
Divulgacin de
informacin
Perdida o modificacin
de datos, prdida de
tiempo y productividad
Divulgacin y
modificacin de
informacin
Inconsistencia de datos
Perdida, modificacin o
divulgacin de datos,
prdida de tiempo y
productividad
Modificacin del
software en desarrollo
Multas y problemas con
software legal
Mal funcionamiento de
los sistemas
Problemas en la
recuperacin de
archivos encriptados
Datos errneos e
inestabilidad del
sistema
Divulgacin y
modificacin de
informacin

Poca adaptacin a cambios

de sistema
Prueba de software
deficiente
Software desactualizado

Backup

Datos de
configuracin,
datos en medio
externos

Administrador de
sistemas

Sistema inestable y de
difcil modificacin
Probabilidad
incremental de
vulnerabilidades y virus
Inestabilidad y mal
funcionamiento del
sistema

Virus
Probabilidad incremental de vulnerabilidades
Copia no autorizada a un
Robo de informacin
medio de datos
Errores de software
Error en la generacin o
en la copia de backups
Falla en medio externos
Perdida de la
informacin
Falta de espacio de
Falla en la generacin
almacenamiento
de backups
Robo
Incapacidad de
restaurarlos y
divulgacin de la
informacion
Virus
Perdida de datos de
backup
Copia no autorizada de un
Robo de informacion
medio de datos
Fallas en medios externos
Perdida de datos en
medios externos
Mala integridad de los datos Prdida de tiempo y
productividad por falla
de datos
Medios de datos no estn
Falta de datos
disponibles cuando son
necesarios
Perdida de datos en transito Divulgacin de datos
Spoofing y sniffing
Divulgacin y
modificacin de
informacin
virus
Perdida, modificacin o
divulgacin de datos,
prdida de tiempo y
productividad
Administracin impropia del
Asignacin de
sistema de IT
responsabilidades

(departamento de
sistemas)

(responsabilidades y roles
del personal de sistemas)
Almacenamiento de
passwords negligente

Configuracin impropia del

SendMail

Errores de configuracin y
operacin del sistema

Fallas de auditoria en
sistema operativo

Mala evaluacin de datos de

auditoria
Mal uso de derechos de
administrador

Red

Abusos de puertos

Ausencia o falta de
segmentacin
Configuracin inadecuada
de componentes de red
Fallas en la MAN
Transporte inseguro de
archivos
Sincronizacin de tiempo
inadecuada
Conexiones todava activas
Usuarios

Acceso no autorizado a
datos
Borrado, modificacin sin

impropia
Divulgacin de
password uso indebido
de derechos de
usuarios
Divulgacin de
mensajes, uso del
servidor para enviar
spam
Inestabilidad del
sistema, reduccin de la
performance y aumento
de las vulnerabilidades
Imposibilidad del
seguimiento de usuarios
y de la generacin d e
reportes
No se analizan los logs
Distribucin de los
permisos y de las
cuentas de
administrador
Posibles intrusiones y
robo o robos de
informacin
Tramos de red extensos
y dificultades en la
comunicacin
Errores de transmisin,
interrupcin del sistema
de red
Una o ms sucursales
incomunicadas
Divulgacin de
informacin
Inconsistencia de datos
Intrusin de usuarios no
autorizados al sistema
Divulgacin o robo de
informacin
Inconsistencia de datos

autorizacin
Documentacin deficiente

Entrada sin autorizacin a

habitaciones
Falta de auditorias

Falta de cuidado en el
manejo de la informacin
(Ej. password)
Ingeniera social ingeniera
social inversa
Mal uso de derechos de
administrador (sesiones
abiertas)
Perdida de confidencialidad
o integridad de datos
Hardware
(teclados, monitor,
unidades de
disco, medios
removibles, etc.)

Corte de luz, UPS

descargado o variaciones de
voltaje
Destruccin o mal
funcionamiento de un
componente
Factores ambientales
Lmite de vida til

Mal mantenimiento
Robo

Insumos (cintas,
cartuchos de tinta,
toner, papel,
formularios, etc.)

Factores ambientales
Lmite de vida til
Recursos escasos

Uso descontrolado de
recursos

o datos faltantes
Mayor probabilidad de
errores por falta de
instrucciones
Robo de equipos o
insumos, divulgacin de
datos
Falta de concientizacin
sobre responsabilidades
y seguridad
Robo o modificacin de
informacin
Divulgacin de datos
Sabotaje interno

Robo o modificacin de
informacin
Interrupcin del
funcionamiento de
equipos
Interrupcin de la tarea
del usuario
Avera de equipos
Avera de equipos e
incremento en el costo
de equipamiento
Avera de equipos
Perdida de
equipamiento e
interrupcin de la tarea
del usuario
Destruccin de insumos
Destruccin o averas
de insumos
Interrupcin en el
funcionamiento normal
del banco
Incremento no
justificado del gasto de
insumos

Robo
Datos de usuarios

Perdida de insumos e
incremento en el gasto
Retraso en las
actividades
Perdida de datos del
usuario
Divulgacin de
informacin
Perdida de informacin
Divulgacin,
modificacin y robo de
informacin
Prdida de tiempo y
productividad

Falta de espacio de
almacenamiento
Perdida de backups
Perdida de confidencialidad
en datos privados
Robo
Spoofing o sniffing

Virus

b. Planificacin de riesgos
Activo
Servidores
switch

Riesgo
y Acceso no autorizado
Corte
de
luz,
UPS
descargado o variaciones de
voltaje
Destruccin
de
un
componente
Error de configuracin
Factores ambientales

Lmite de vida til

maquinas obsoletas
Mal mantenimiento

Base de datos

Planificacin
Implementar polticas
Aseguramiento en la
seguridad fsica

Destruir completamente
los componentes
Contratar especialistas
en la materia
Infraestructura
adecuada
para
resguardar los datos
Establecer la vida til de
los materiales
Mantenimiento
por
personal capacitado
Antivirus

Virus
Baja de datos compleja
Copia no autorizada de un Divulgacin
de
medio de datos
informacin
Errores de software
Inconsistencias en los
datos
Fallas de base de datos
Inconsistencias en los
datos
Falta
de
espacio
de Falla en la aplicacin

almacenamiento
Mala
configuracin
del
schedule de backups
Perdida de confidencialidad
en datos privados y de
sistema
Mala integridad de los datos

Software
aplicacin,
programas
sistemas
operativos

Datos sin backup

Divulgacin
informacin

de

Inconsistencias
y
redundancia de datos
Perdida de backups
Incapacidad
de
restauracin
Portapapeles, impresoras o Divulgacin
de
directorios compartidos
informacin
robo
Divulgacin
de
informacin
Sabotaje
Perdida o modificacin
de datos, prdida de
tiempo y productividad
Spoofing y sniffing
Divulgacin
y
modificacin
de
informacin
Transferencia
de
datos Inconsistencia de datos
incorrectos
virus
Perdida, modificacin o
divulgacin de datos,
prdida de tiempo y
productividad
de Acceso no autorizado a Modificacin
del
datos
software en desarrollo
Multas y problemas con
y Aplicaciones sin licencia
software legal
Error de configuracin
Mal funcionamiento de
los sistemas
Errores en las funciones de Problemas
en
la
encriptacin
recuperacin
de
archivos encriptados
Falla en el sistema
Datos
errneos
e
inestabilidad
del
sistema
Mala
administracin
de Divulgacin
y
control de acceso
modificacin
de
informacin
Poca adaptacin a cambios Sistema inestable y de
de sistema
difcil modificacin
Prueba
de
software Probabilidad

deficiente
Software desactualizado

Backup

Datos
de
configuracin,
datos en medio
externos

Administrador de
sistemas
(departamento de
sistemas)

incremental
de
vulnerabilidades y virus
Inestabilidad
y
mal
funcionamiento
del
sistema

Virus
Probabilidad incremental de vulnerabilidades
Copia no autorizada a un Robo de informacin
medio de datos
Errores de software
Error en la generacin o
en la copia de backups
Falla en medio externos
Perdida
de
la
informacin
Falta
de
espacio
de Falla en la generacin
almacenamiento
de backups
Robo
Incapacidad
de
restaurarlos
y
divulgacin
de
la
informacion
Virus
Perdida de datos de
backup
Copia no autorizada de un Robo de informacion
medio de datos
Fallas en medios externos
Perdida de datos en
medios externos
Mala integridad de los datos Prdida de tiempo y
productividad por falla
de datos
Medios de datos no estn Falta de datos
disponibles
cuando
son
necesarios
Perdida de datos en transito Divulgacin de datos
Spoofing y sniffing
Divulgacin
y
modificacin
de
informacin
virus
Perdida, modificacin o
divulgacin de datos,
prdida de tiempo y
productividad
Administracin impropia del Asignacin
de
sistema
de
IT responsabilidades
(responsabilidades y roles impropia
del personal de sistemas)
Almacenamiento
de Divulgacin
de

passwords negligente

Configuracin impropia del

SendMail

Errores de configuracin y
operacin del sistema

Fallas de auditoria
sistema operativo

Red

Usuarios

en

password uso indebido

de
derechos
de
usuarios
Divulgacin
de
mensajes,
uso
del
servidor para enviar
spam
Inestabilidad
del
sistema, reduccin de la
performance y aumento
de las vulnerabilidades
Imposibilidad
del
seguimiento de usuarios
y de la generacin d e
reportes
No se analizan los logs

Mala evaluacin de datos de

auditoria
Mal uso de derechos de Distribucin
de
los
administrador
permisos y de las
cuentas
de
administrador
Abusos de puertos
Posibles intrusiones y
robo
o
robos
de
informacin
Ausencia
o
falta
de Tramos de red extensos
segmentacin
y dificultades en la
comunicacin
Configuracin
inadecuada Errores de transmisin,
de componentes de red
interrupcin del sistema
de red
Fallas en la MAN
Una o ms sucursales
incomunicadas
Transporte
inseguro
de Divulgacin
de
archivos
informacin
Sincronizacin de tiempo Inconsistencia de datos
inadecuada
Conexiones todava activas
Intrusin de usuarios no
autorizados al sistema
Acceso no autorizado a Divulgacin o robo de
datos
informacin
Borrado, modificacin sin Inconsistencia de datos
autorizacin
o datos faltantes
Documentacin deficiente
Mayor probabilidad de
errores por falta de

instrucciones
Entrada sin autorizacin a Robo de equipos o
habitaciones
insumos, divulgacin de
datos
Falta de auditorias
Falta de concientizacin
sobre responsabilidades
y seguridad
Falta de cuidado en el Robo o modificacin de
manejo de la informacin informacin
(Ej. password)
Ingeniera social ingeniera Divulgacin de datos
social inversa
Mal uso de derechos de Sabotaje interno
administrador
(sesiones
abiertas)
Perdida de confidencialidad Robo o modificacin de
o integridad de datos
informacin
Hardware
(teclados, monitor,
unidades
de
disco,
medios
removibles, etc.)

Corte
de
luz,
UPS
descargado o variaciones de
voltaje
Destruccin
o
mal
funcionamiento
de
un
componente
Factores ambientales
Lmite de vida til

Mal mantenimiento
Robo

Insumos (cintas, Factores ambientales

cartuchos de tinta, Lmite de vida til
toner,
papel,
Recursos escasos
formularios, etc.)
Uso
descontrolado
recursos
Robo

Interrupcin
del
funcionamiento
de
equipos
Interrupcin de la tarea
del usuario

Avera de equipos
Avera de equipos e
incremento en el costo
de equipamiento
Avera de equipos
Perdida
de
equipamiento
e
interrupcin de la tarea
del usuario
Destruccin de insumos
Destruccin o averas
de insumos
Interrupcin
en
el
funcionamiento normal
del banco
de Incremento
no
justificado del gasto de
insumos
Perdida de insumos e
incremento en el gasto

Datos de usuarios

Falta
de
espacio
almacenamiento
Perdida de backups

de Retraso
en
las
actividades
Perdida de datos del
usuario
Perdida de confidencialidad Divulgacin
de
en datos privados
informacin
Robo
Perdida de informacin
Spoofing o sniffing
Divulgacin,
modificacin y robo de
informacin
Virus
Prdida de tiempo y
productividad

La planificacin de riesgo
c. MAGERIT metodologa de anlisis y gestin de riesgos de los sistemas de
informacin
d. Calculo de nivel de riesgo
e. Identificacin del riesgo, utilizando
I.
Mtodo Delphi
II.
Arboles de fallos eventos
III.
Anlisis probabilistico de seguridad
IV. Entrevistas, encuestas, FODA
f. Determinar niveles de aceptacin de riesgos

14. Planeacin de la auditoria

a. Planeacin de la auditoria en informtica

Para hacer una adecuada planeacin de la auditora en informtica, hay que
seguir una serie de pasos previos que permitirn dimensionar el tamao y
caractersticas de rea dentro del organismo a auditar, sus sistemas,
organizacin y equipo.
1. Logs de los servidores.- Cada una de las aplicaciones que genera los logs
utiliza una carpeta diferente para su almacenamiento. Los chequeos de los
logs se hacen manualmente los cuales contienen: fecha y hora, fuente (el
componente que disparo el evento), ID del evento (numero nico que

identifica al evento), computadora (maquina donde se logeo el evento),

descripcin (datos asociados con el evento o mensajes de error).
2. Control de acceso a logs.- Se debe controlar el acceso lgico a las
carpetas donde estn almacenados los logs para evitar el acceso desde
cualquier maquina conectada a la red.
3. Control de acceso a internet.- los nmeros de IP de las PCs conectada,
as como la direccin de las pginas visitadas deben estar registradas
debidamente.
4. Cambio de password.- cuando el usuario modifica su password se
generaran los logs y las contraseas anteriores se almacenaran en una
bitcora.
5. Logs del administrador.- se chequearan peridicamente para verificar que
sean vlidos, para que no se registren ningn tipo de problemas.
b. Evaluacin de sistemas

Sistema operativo
El Sistema Operativo es un conjunto de programas que administran los
recursos de la computadora y controlan su funcionamiento.
Un Sistema Operativo realiza cinco funciones bsicas: Suministro de Interfaz al
Usuario, Administracin de Recursos, Administracin de Archivos,
Administracin de Tareas y Servicio de Soporte.
1) Suministro de interfaz al usuario: Permite al usuario comunicarse con
la computadora por medio de interfaces que se basan en comandos,
interfaces que utilizan mens, e interfaces grficas de usuario.
2) Administracin de recursos: Administran los recursos del hardware
como la CPU, memoria, dispositivos de almacenamiento secundario y
perifricos de entrada y de salida.
3) Administracin de archivos: Controla la creacin, borrado, copiado y
acceso de archivos de datos y de programas.
4) Administracin de tareas: Administra la informacin sobre los
programas y procesos que se estn ejecutando en la computadora.
Puede cambiar la prioridad entre procesos, concluirlos y comprobar el
uso de estos en la CPU, as como terminar programas.
5) Servicio de soporte: Los Servicios de Soporte de cada sistema
operativo dependen de las implementaciones aadidas a este, y pueden
consistir en inclusin de utilidades nuevas, actualizacin de versiones,
mejoras de seguridad, controladores de nuevos perifricos, o correccin
de errores de software.

c. Evaluacin del software

El Software es el soporte lgico e inmaterial que permite que la computadora
pueda desempear tareas inteligentes, dirigiendo a los componentes fsicos o
hardware con instrucciones y datos a travs de diferentes tipos de programas.
El Software son los programas de aplicacin y los sistemas operativos, que
segn las funciones que realizan pueden ser clasificados en:

Software de Sistema
Se llama Software de Sistema o Software de Base al conjunto de programas
que sirven para interactuar con el sistema, confiriendo control sobre el
hardware, adems de dar soporte a otros programas.
El Software de Sistema se divide en:

Controladores de Dispositivos
Los Controladores de Dispositivos son programas que permiten a otros
programas de mayor nivel como un sistema operativo interactuar con un
dispositivo de hardware.

Programas Utilitarios
Los Programas Utilitarios realizan diversas funciones para resolver problemas
especficos, adems de realizar tareas en general y de mantenimiento. Algunos
se incluyen en el sistema operativo.

Software de Aplicacin
El Software de Aplicacin son los programas diseados para o por los usuarios
para facilitar la realizacin de tareas especficas en la computadora, como
pueden ser las aplicaciones ofimticas (procesador de texto, hoja de clculo,
programa de presentacin, sistema de gestin de base de datos...), u otros
tipos de software especializados como software mdico, software educativo,
editores de msica, programas de contabilidad, etc.

Software de Programacin
El Software de Programacin es el conjunto de herramientas que permiten al
desarrollador informtico escribir programas usando diferentes alternativas y
lenguajes de programacin.
Este tipo de software incluye principalmente compiladores, intrpretes,
ensambladores, enlazadores, depuradores, editores de texto y un entorno de
desarrollo integrado que contiene las herramientas anteriores, y normalmente
cuenta una avanzada interfaz grfica de usuario (GUI).

d. Control de proyectos
La necesidad de hacer una revisin permanente de la ejecucin de las actividades
programadas del proyecto lleva a definir un sistema de control que posibilite medir
el avance fsico y el uso de recursos humanos, materiales y financieros, as como
la relacin entre el tiempo y el costo. Se define como control, al proceso de
comparar la realizacin real del proyecto con la planificada, analizando las
variaciones existentes entre ambas, evaluando las posibles alternativas, y
tomando las acciones o medidas correctoras apropiadas segn se necesiten.
e. Instructivos de operacin
De acuerdo al proyecto que se est desarrollando las instrucciones son las
siguientes:

Los usuarios deben cumplir todas las polticas de seguridad establecidas

Cada software dentro de la institucin cuenta con su respectiva

documentacin de uso por la tanto el usuario est en la obligacin de
leerlos para su manipulacin.

El administrador del sistema es quien est a cargo de todo el manejo de la

informacin que transita en la institucin.

El hardware y los insumos de computacin solo deben ser manipulados por

los usuarios autorizados.

f. Entrevistas a usuarios
g. Controles
El control es una parte muy importante