AUDITORÍA INFORMÁTICA

Ing. Roberto Edmundo Mendoza

Introducción
Dentro de las organizaciones el Área de informática forma
parte de lo que se ha denominado el "management“ o
gestión de la empresa. Debido a su importancia en el
funcionamiento de una empresa, existe la Auditoría
Informática.
Conceptos básicos de Auditoría

Auditoría Informática
Examen que se realiza con carácter objetivo, crítico, sistemático y
selectivo con el fin de evaluar la eficacia y eficiencia del uso
adecuado de los recursos informáticos, de la gestión informática y si
estas han brindado el soporte adecuado a los objetivos y metas del
negocio.
Conceptos básicos de Auditoría
Auditoría Informática
• La Auditoria de Tecnología de Información (T.I.) (Auditoria
informática o Auditoria de sistemas), se ha consolidado en el
mundo entero como cuerpo de conocimientos cierto y consistente,
respondiendo a la acelerada evolución de la tecnología
informática de los últimos 10 años.

• La INFORMACIÓN es considerada un activo tan o más

importante que cualquier otro en una organización.
Conceptos básicos de Auditoría

Objetivos de la Auditoría Informática

La Auditoría Informática deberá comprender no sólo la evaluación

de los equipos de cómputo, de un sistema o procedimiento
específico, sino que además habrá de evaluar los sistemas de
información de sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.
Conceptos básicos de Auditoría

Alcance de la Auditoría Informática

Ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoria informática

El alcance ha de figurar expresamente en el Informe Final, de modo

que quede perfectamente determinado no solamente hasta que
puntos se ha llegado, sino cuales materias fronterizas han sido
omitidas
Conceptos básicos de Auditoría

Alcance de la Auditoría Informática

 Ejemplo: ¿Se someterán los registros grabados aun control de

integridad exhaustivo?

 ¿Se comprobará que los controles de validación de errores son

adecuados y suficientes?

La definición de los alcances de la auditoria compromete el éxito de

la misma
Conceptos básicos de Auditoría
Áreas Generales y Específicas de la Auditoría Informática
Conceptos básicos de Auditoría
Áreas Generales de la Auditoría Informática
Conceptos básicos de Auditoría
Áreas Específicas de la Auditoría Informática
Conceptos básicos de Auditoría
Áreas específicas de la Auditoría Informática

 Auditoría de Seguridad
Sistemas Informáticos han de protegerse de modo global y particular.

Describir las diversas vulnerabilidades que pudieran presentarse en una

revisión exhaustiva de las estaciones de trabajo, redes de
comunicaciones o servidores
Conceptos básicos de Auditoría
Áreas específicas de la Auditoría Informática

 Auditoría Informática de Explotación

Se ocupa de producir resultados informáticos de todo tipo: listados
impresos, ficheros soportados magnéticamente. Para realizar la
Explotación Informática se dispone de una materia prima, los Datos, que
es necesario transformar, y que se someten previamente a controles de
integridad y calidad
Conceptos básicos de Auditoría
Áreas específicas de la Auditoría Informática

 Auditoría de Desarrollo
Revisión del proceso completo de desarrollo de proyectos por parte de
la empresa auditada.

El análisis se basa en cuatro aspectos fundamentales:

• Revisión de las metodologías utilizadas

• Control Interno de las Aplicaciones
• Satisfacción de usuarios
• Control de Procesos y Ejecuciones de Programas Críticos
Conceptos básicos de Auditoría
Áreas específicas de la Auditoría Informática

 Auditoría de Sistemas
Se ocupa de analizar la actividad que se conoce como Técnica de
Sistemas en todas sus facetas

• Sistemas Operativos
• Software Básico
• Administración de Bases de Datos
Conceptos básicos de Auditoría

Áreas específicas de la Auditoría Informática

 Auditoría de Comunicaciones y Redes

Revisión de la topología de Red y determinación de posibles mejoras,
análisis de caudales y grados de utilización
Conceptos básicos de Auditoría

Funciones de la Auditoría Informática

 Controlar y verificar todos los estándares informáticos que aplica

la organización.

 Analizar la eficiencia y eficacia de los Sistemas de Información

organizacionales

 Examinar el uso adecuado de los recursos informáticos de la

organización
Conceptos básicos de Auditoría
Fases de la Auditoría Informática
La auditoría de sistemas se requiere una planeación ordenada de
acciones y procedimientos específicos, que deben ser ejecutados de
forma secuencial, cronológica y ordenada, teniendo en cuenta
etapas, eventos y actividades que se requieran para su ejecución
que serán establecidos de acuerdo a las necesidades de la empresa.
Las fases de Auditoría cubre tres etapas:
1. Planeación
2. Ejecución
3. Dictamen
Conceptos básicos de Auditoría Planeación de la Auditoría

Cómo se va a ejecutar la auditoría, donde se debe identificar de forma

clara las razones por las que se va a realizar la auditoría, la determinación
del objetivo de la misma, el diseño de métodos, técnicas y procedimientos
necesarios para llevarla a cabo.

Identificar el origen de la auditoría: determinar por qué surge la

necesidad o inquietud de realizar una auditoría. Las preguntas que se
deben contestar ¿de dónde?, ¿porqué?, ¿Quién? o ¿para qué?
 Planeación de la Auditoría
Visita Preliminar al Área informática: tener un primer contacto con
Conceptos básicos de Auditoría

el personal asignado a dicha área, conocer la distribución de los

sistemas y donde se localizan los servidores y equipos terminales
en el centro de cómputo, sus características, las medidas de
seguridad y otros aspectos.

¿Cómo se encuentran distribuidos los equipos en el área?,

¿Cuántos, cuáles, cómo y de qué tipo son los servidores y
terminales que existen en el área?, ¿Qué tipo de instalaciones y
conexiones físicas existen en el área?
 Planeación de la Auditoría
Establecer los Objetivos de la Auditoría:

• El objetivo general, que es el fin global de lo que se pretende

alcanzar con el desarrollo de la auditoría informática
Conceptos básicos de

• Los objetivos específicos, que son los fines individuales que se

pretenden para el logro del objetivo general
Auditoría
 Planeación de la Auditoría

Determinar los puntos que serán evaluados

Relacionar los aspectos que serán evaluados, considerar aspectos específicos
del área informática y de los sistemas computacionales tales como:
Conceptos básicos de

- La gestión administrativa del área informática y el centro de cómputo,

- Cumplimiento de las funciones del personal informático y usuarios de los
sistemas
- Protección de las bases de datos, datos confidenciales y accesos a las mismas
- Protección de las copias de seguridad y la restauración de la información
Auditoría
 Planeación de la Auditoría

Identificar y seleccionar los métodos, herramientas,

instrumentos y procedimientos necesarios para la auditoría
Conceptos básicos de

Se determina la documentación y medios necesarios para llevar a

cabo la revisión y evaluación en la empresa, seleccionando o
diseñando los métodos, procedimientos, herramientas, e
instrumentos necesarios de acuerdo a los planes, presupuestos y
Auditoría

programas establecidos anteriormente para la auditoría.

Conceptos básicos de Auditoría
Fases de la Auditoría Informática

Ejecución de la Auditoría

Después de la planeación de la auditoría es la ejecución de la

misma, y está determinada por las características propias, los
puntos elegidos y los requerimientos estimados en la planeación.
Conceptos básicos de Auditoría
Fases de la Auditoría Informática
Dictamen de la Auditoría
Es el resultado final de la auditoría, donde se presenta:

1. Informe de Situaciones Detectadas: Al detectar oportunidades

de mejora se debe realizar el análisis de los papeles de trabajo y la
elaboración del borrador de oportunidades detectadas, para ser
discutidas con los auditados, después se hacen las modificaciones
necesarias y posteriormente el informe final de las situaciones
detectadas.
Conceptos básicos de Auditoría
Fases de la Auditoría Informática
Dictamen de la Auditoría

2. Elaborar Dictamen Final: El auditor debe terminar la elaboración

del informe final de auditoría y complementarlo con el dictamen final,
para después presentarlo a los directivos del área auditada y que
conozcan la situación actual del área, antes de presentarlo al
representante o gerente de la empresa
Conceptos básicos de Auditoría
Fases de la Auditoría Informática
Dictamen de la Auditoría

3. Elaborar Dictamen Formal: Último paso de esta metodología, se

presenta formalmente el informe y el dictamen de la auditoria al más alto nivel,
donde se informa de los resultados de la auditoría. Tanto el informe como el
dictamen deben presentarse en forma resumida, correcta y profesional.

El dictamen formal se hace tomando en cuenta el informe comentado a los

directivos, junto al formato de hallazgos o desviaciones y los papeles de trabajo de
cada uno de los auditores
Fases de la Auditoría Informática
Conceptos básicos de Auditoría
Técnicas de la Auditoría Informática

Las Técnicas de Auditoría, son los métodos prácticos de

investigación y prueba que el Auditor utiliza para lograr la
información y comprobación necesaria para poder emitir su opinión
profesional

Son las herramientas de trabajo del Auditor

Conceptos básicos de Auditoría
Técnicas de la Auditoría Informática
Las Técnicas de Auditoría se pueden clasificar de la siguiente forma:
1. Estudio General
Es la apreciación y juicio de las características generales de la
empresa, elementos significativos para elaborar las conclusiones
que se ha de profundizar en su estudio y en la forma que ha de
realizarse.
Conceptos básicos de Auditoría
Técnicas de la Auditoría Informática
2. Análisis. Es el estudio de los componentes de un todo

3. Inspección. Es la verificación física de lo detallado en el Estudio

General

4. Confirmación. Es la ratificación por parte del Auditor como

persona ajena a la empresa, de la autenticidad de un procedimiento,
hecho u operación

5. Investigación. Es la recopilación de información mediante

entrevistas o conversaciones con los funcionarios y empleados de la
empresa
Conceptos básicos de Auditoría
Técnicas de la Auditoría Informática

6. Declaraciones y Certificaciones. Es la formalización de la

técnica anterior, cuando, por su importancia, resulta conveniente
que las afirmaciones recibidas deban quedar escritas
(declaraciones) y en algunas ocasiones certificadas por alguna
autoridad (certificaciones)
Conceptos básicos de Auditoría
Perfil del Auditor Informático
1. Se recomienda el conocimiento de Auditoría Informática y
Auditoría Contable:
- Desarrollo de Proyectos
- Administración de Departamentos de Informática
- Sistemas Operativos
- Telecomunicaciones
- Redes
- Seguridad Informática
- Gestión de Riesgos, etc.
Conceptos básicos de Auditoría
Perfil del Auditor Informático
2. Especialización en función de la importancia económica que
tienen distintos componentes financieros

3. Conocer técnicas de Administración de Empresas, las

conclusiones y soluciones deben estar alineadas a los objetivos de
la empresa y recursos que poseen

4. Debe tener un enfoque de calidad total

Conceptos básicos de Auditoría
Perfil del Auditor Informático
• Características o habilidades:
- Normativas y estándares de seguridad de TI (Normas ISO,
COBIT, ITIL)
- Técnica o Metodología de Auditoría Informática
- Regulación Legal
- Metodología de Análisis de Riesgo
- Análisis Forense y evidencias electrónicas
Conceptos básicos de Auditoría
Norma Ética del Auditor Informático
La ética profesional del auditor, se refiere a la responsabilidad del
mismo. Algunas características que deben ser completadas dentro
del perfil ético son:

1. Independencia, integridad y objetividad

El auditor debe expresar su opinión imparcialmente, en atención a
hechos reales comprobables, según su propio criterio y con perfecta
autonomía y, para tal fin, estar desligado a todo vínculo con los
dueños, administradores e intereses de la empresa.
Conceptos básicos de Auditoría
Norma Ética del Auditor Informático
2. Responsabilidad con los clientes
Debe ser imparcial y franco con sus clientes y servirles de la mejor
manera, sobre todo desarrollando un interés profesional sobre los
intereses de ellos, consecuente con sus responsabilidades

3. Necesidad de Confidencialidad
Una auditoria eficiente y efectiva requiere que el cliente ponga en el
auditor la confianza necesaria para ser sumamente franco al
proporcionar información
Conceptos básicos de Auditoría
Norma Ética del Auditor Informático
4. Confidencialidad y Privilegio
El auditor no debe revelar la información contenida en la comunicación sin
el permiso del cliente. La información es privilegiada si el cliente puede
impedir que un tribunal o dependencia del gobierno tenga acceso a ella
mediante un citatorio u orden de comparecencia

5. Información Confidencial
Los auditores y su personal tienen iguales responsabilidades que la
administración en cuanto al manejo de la información confidencial
Conceptos básicos de Auditoría
Norma Ética del Auditor Informático
6. Conflicto de Intereses
El temor de algunos clientes de que sus secretos les sean
comunicados a los competidores es tan grande que se niegan a
contratar auditores
7. Responsabilidad ante los clientes
El auditor tiene una relación contractual con su cliente. El
profesional es responsable ante su cliente por negligencia en grado
simple y, en consecuencia, también lo será por negligencia en grado
grave o por fraude
 Conceptos básicos sobre Control Interno
Definiciones de Control
Control Interno para Auditoría

El control es la fase del proceso administrativo que debe mantener

la actividad organizacional dentro de los límites permisibles, de
acuerdo con las expectativas. El control organizacional está
irremediablemente relacionado con la planeación. Los planes son
el marco de referencia dentro del cual funciona el proceso de control

“Control es verificar que todo ocurra de acuerdo a las reglas

establecidas y las órdenes impartidas…”
 Conceptos básicos sobre Control Interno
Objetivos de Control
Control Interno para Auditoría

Son muy variados y específicos de acuerdo con el tipo de institución donde se

establezcan y a las características específicas de la misma. A continuación se
detallan los objetivos del control:
• Se adopta para poder establecer estándares, medir su cumplimiento y evaluar
el alcance real de los planes y programas, comparado con lo realmente
alcanzado.
• Con su adopción se contribuye a la planeación y evaluación correctas del
cumplimiento de las funciones, actividades y operaciones de las empresas.
• Junto a la planeación, el control es una parte indispensable en las actividades
de dirección de cualquier empresa.
 Conceptos básicos sobre Control Interno
Elementos de Control
Control Interno para Auditoría
 Conceptos básicos sobre Control Interno
Ciclo de Aplicación de Control
Control Interno para Auditoría

1. Determina objetivos y estrategias

2. Planea programas
3. Determina cargas de trabajo
4. Asigna los recursos requeridos a las cargas de trabajo
5. Adquiere/delega autoridad para utilizar recursos
6. Desempeña el trabajo
7. Compara el desempeño con el plan
8. Compara los objetivos alcanzados con los objetivos deseados
9. Compara el programa alcanzado con el programa planeado
 Conceptos básicos sobre Control Interno
Ciclo de Aplicación de Control
Control Interno para Auditoría
 Conceptos básicos sobre Control Interno
Control Interno
Control Interno para Auditoría

El control interno es la adopción de una serie de medidas que se

establecen en las empresas, con el propósito de contar con
instrumentos tendientes a salvaguardar la integridad de los bienes
institucionales.

Cuando un auditor profesional se somete a auditar una empresa, lo

primero que se le viene a la cabeza es mejorar todos los procesos
que se llevan en la misma para buscar la eficiencia total
 Control Interno desde el Punto de Vista
Informático

Control Interno Informático

Control Interno para Auditoría

Controla diariamente que todas las actividades de sistemas de

información sean realizadas cumpliendo los procedimientos,
estándares y normas fijados por la dirección de la organización y/o
la dirección informática, así como los requerimientos legales

Control interno informático suele ser un órgano staff de la dirección

del departamento de informática y está dotado de las personas y
medios materiales proporcionados a los cometidos que se le
encomienden
 Metodologías y Controles
Control Interno Informático
Control Interno para Auditoría

Tipos del Control Interno Informático

Controles preventivos: Para tratar de evitar el hecho, como un
software de seguridad que impida los accesos no autorizados al
sistema.

Controles detectivos: Cuando fallan los preventivos para tratar de

conocer cuanto antes el evento. Por ejemplo, el registro de intentos
de acceso no autorizados, el registro de la actividad diaria para
detectar errores u omisiones.

Controles correctivos: Facilitan la suelta a la normalidad cuando

se han producido incidencias. Por ejemplo, la recuperación de un
fichero dañado a partir de las copias de seguridad.
 Control Interno Informático

Tratar de evitar el
Control Interno para Auditoría

Cuando fallan los

hecho
preventivos para
Disuasivos Preventivos tratar de conocer
Amenaza o cuanto antes el
Riesgo evento
Plataforma Informática Operatividad

Vuelta a la
normalidad cuando Detectivo Correctivo
se han producido
incidencias
 Control Interno Informático
Implantación de un Control Interno Informático
Gestión de sistema de información: políticas, pautas y normas técnicas que
Control Interno para Auditoría

sirvan de base para el diseño y la implantación de los sistemas de información y

de los controles correspondientes.
Administración de sistemas: Controles sobre la actividad de los centros de
datos y otras funciones de apoyo al sistema, incluyendo la administración de las
redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el
software del sistema, integridad del sistema, confidencialidad (control de acceso) y
disponibilidad.
Gestión del cambio: separación de las pruebas y la producción a nivel del
software y controles de procedimientos para la migración de programas software
aprobados y probados.
Control Interno para Auditoría
Control Interno Informático
 Normas ISO (27000)
Marco General
Herramientas Legales y Normativa Aplicable

• La información es un activo esencial y es decisiva para la

viabilidad de una organización. Adopta diferentes formas,
impresa, escrita en papel, digital (correo electrónico, video,
teleconferencia, etc.).
• Debido a que está disponible en diferentes ambientes, está
expuesta a amenazas y vulnerabilidades.
• La seguridad de la información es la protección de la
información contra una amplia gama de amenazas; para
minimizar los daños, ampliar las oportunidades del negocio,
maximizar el retorno de las inversiones y asegurar la continuidad
del negocio.
• La seguridad de la información se va logrando mediante la
implementación de un conjunto adecuado de políticas, procesos,
procedimientos y controles.
Normas ISO (27000)
Control

• El aumento del control sobre las actividades de las personas.

• ¿Es posible controlar las intenciones de las personas?
• Por lo tanto, se requiere ir más lejos…
Normas ISO (27000)
Sistemas de Gestión
Para ISO (International Organization for Standardization) un sistema
de gestión queda definido por un proceso de 4 etapas:

Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar

(Act)
Normas ISO (27000)
Conceptos Generales de un SGSI

• ISO 27001 es un Sistema de Gestión de la Seguridad de la

Información (SGSI).
• La seguridad de la información queda definida por tres atributos:
a) Confidencialidad; b) Integridad; c) Disponibilidad.
• La seguridad de la información (SI) es la protección de la
información contra una amplia gama de amenazas respecto a:
i) Minimizar daños;
ii) Oportunidades del negocio;
iii) Retorno de la inversión;
iv) Continuidad del negocio;
v) Cultura ética.
Normas ISO (27000)
Conceptos Generales de un SGSI
• El SGSI garantiza la SI mediante una estructura de buenas
prácticas, definidas por:
a) Gestión de riesgos;
b) Políticas;
c) Procesos;
d) Procedimientos;
e) Controles;
f) Revisiones;
g) Mejoras
Normas ISO (27000)
Conceptos Básicos de SI
La Seguridad de la Información consiste en mantener:

• Confidencialidad: Información disponible exclusivamente a

personas autorizadas.

• Integridad: Mantenimiento de la exactitud y validez de la

información, protegiéndola de modificaciones o alteraciones no
autorizadas. Contra la integridad la información puede parecer
manipulada, corrupta o incompleta.

• Disponibilidad: Acceso y utilización de los servicios sólo y en el

momento de ser solicitado por una persona autorizada.
Normas ISO (27000)
Normas ISO (27000)
Normas ISO (27000)
Normas ISO (27000)
Normas ISO (27000)
ITIL
Conceptos
ITIL (IT Infraestructure Library) es el marco de procesos de Gestión de
Servicios de TI más aceptado. ITIL proporciona un conjunto de mejores
prácticas, extraídas de organismos referentes del sector público y
privado a nivel internacional.

“Es el enfoque mas aceptado en el mundo para la gestión de servicios

de TI. Ofrece un conjunto coherente de buenas prácticas, procedentes
del sector público y privado a nivel internacional”
ITIL
¿Qué es ITIL?

Está dividido en dos áreas principales:

• Soporte del Servicio: Describe cómo el cliente puede acceder a

los servicios.

• Provisión del Servicio: Administración de los servicios de IT,

garantizando proveer el servicio acordado con el cliente.
ITIL
Conceptos
Es un framework de procesos de IT no propietario
Es independiente de los proveedores
Es independiente de la tecnología
Está basado en "Best Practices"
Propone una terminología standard
Provee interdependencias entre los procesos
Establece lineamientos para la implementación
Define “Que hacer” y “Que no hacer”
Define como se aplica en una organización la Administración de
Servicio o “Service Management”
ITIL
Beneficios y Retos
ITIL
Por donde empezar?
ITIL
Beneficios y Retos
ITIL
Beneficios y Retos
ITIL
ITIL
Soporte del Servicio

• Centro de Servicios (Service Desk)

• Gestión de Incidentes
• Gestión de Problemas
• Gestión de Configuraciones
• Gestión de Cambios
• Gestión de Versiones
ITIL
Provisión del Servicio

• Gestión de Niveles de Servicio

• Gestión Financiera de los Servicios IT
• Gestión de Capacidad
• Gestión de Continuidad de los Servicios IT
• Gestión de la Disponibilidad
ITIL
Ventajas para el Cliente/Usuario

• La entrega del servicio esta más orientada al Cliente.

• La Calidad del Servicio está previamente acordada.
• La expectativa sobre los servicios está Nivelada
• Disminución de Costo
• Mejora en la Comunicación
ITIL
Ventajas para la Organización

• La estructura de TI se vuelve más clara y eficaz.

• Facilita la tercerización de Servicios.
• La estructura TI se centra más en los objetivo corporativos.
• Los cambios son más fáciles de implementar.
• Sustenta la introducción de un sistema de gestión de calidad
basado en ISO9000
• Estandariza la comunicación en la organización.
ITIL
Como Medir el Valor de los Servicios de TI
ITIL
El Marco de ITIL
COBIT
Definición

⁻ COBIT es un marco de gobierno de las tecnologías de

información que proporciona una serie de herramientas para
que la gerencia pueda conectar los requerimientos de control
con los aspectos técnicos y los riesgos del negocio

⁻ COBIT permite el desarrollo de las políticas y buenas prácticas

para el control de las tecnologías en toda la organización

⁻ COBIT enfatiza el cumplimiento regulatorio, ayuda a las

organizaciones a incrementar su valor a través de las
tecnologías
COBIT
Provee buenas prácticas a través de un marco de referencia de
dominios y procesos, y presenta las actividades en una estructura
lógica administrable

• Estas buenas prácticas representan el consenso de los

expertos
• Están fuertemente enfocadas en control y menos en
ejecución
COBIT
COBIT soporta el gobierno de TI proveyendo un marco de referencia
que asegure que:
• TI está alineada con el negocio
• TI ayuda a los negocios y maximiza beneficios
• Los recursos de TI son usados responsablemente
• Los riesgos de TI son gestionados apropiadamente
COBIT
Principios
COBIT
› Orientación a los negocios de COBIT

– Consiste en:

› Vincular las metas de TI las metas de negocio

› Proveer métricas y modelos de madurez para el logro de los mismos

› Identificar las responsabilidades de negocio y los dueños de los procesos

de TI asociados

› Foco en los procesos

– Ilustrada por un modelo que divide TI en 34 procesos alineados con las áreas
de responsabilidad de planificación, desarrollo, operación y monitoreo,
proveyendo una visión de principio a fin (end-to-end) de TI.
COBIT
Necesidad de un Marco de Referencia de Control para el Gobierno de TI
– Por qué?
› Cada vez más la alta dirección percibe el impacto significativo que la información
puede tener en el destino de la empresa.

› La alta dirección necesita conocer si la TI esta siendo gestionada de

manera que esta es:
– Adecuada para alcanzar los objetivos
– Suficientemente flexible para aprender y adaptarse
– Juiciosa en la gestión de los riesgos que enfrenta
– Apropiada reconociendo oportunidades y actuando sobre ellas
COBIT
CRITERIOS DE INFORMACIÓN DE COBIT

Para satisfacer los objetivos de negocio, la información necesita dar conformidad a

ciertos criterios de control, a los cuales COBIT se refiere como requerimientos de
información de negocios. Se definen siete criterios de información:

– Eficacia-información relevante a los procesos de negocios y su entrega en

tiempo, correcta, consistente y usable

– Eficiencia-provisión de información a través del óptimo uso de los recursos

– Confidencialidad-protección de información sensible contra acceso no

autorizado

– Integridad-exactitud y completitud de la información y su validez de acuerdo

a los valores y expectativas de negocio
COBIT
Criterios de Información COBIT

– Disponibilidad-que la información esté disponible cuando sea

requerida por el proceso de negocios ahora y en el futuro

– Conformidad-se ocupa de cumplir con las leyes, regulaciones y

contratos a los cuales se sujeta el proceso de negocios

– Confiabilidad-provisión de información apropiada a la gerencia

para operar la organización
COBIT
COBIT define las actividades de TI en un modelo de
procesos genéricos con cuatro dominios

› PLANEAR Y ORGANIZAR (PO)

– Este dominio cubre estrategias y tácticas, y se preocupa en identificar la

manera en que TI puede contribuir mejor a alcanzar los objetivos de
negocios.

› ADQUIRIR E IMPLEMENTAR (AI)

– Para realizar la estrategia de TI, se necesita identificar soluciones de TI así

como también implementarlas e integrarlas en el proceso de negocio.
COBIT
COBIT define las actividades de TI en un modelo de
procesos genéricos con cuatro dominios

› ENTREGAR Y SOPORTAR (DS)

– Este dominio trata de la entrega real de los servicios requeridos, lo cual

incluye entrega, gestión de seguridad y continuidad, soporte de servicio, y
gestión de datos y suministros operativos

› MONITOREAR Y EVALUAR (ME)

– Este dominio trata de la gestión de funcionamiento, monitoreo de control

interno, conformidad regulatoria y gobierno del aprovisionamiento
COBIT
Beneficios de implementar COBIT como un marco de
referencia de Gobierno de TI

– Mejor ordenamiento, basado en un foco de negocios

– Una vista, entendible para la dirección, de lo que hace TI

– Propiedad y responsabilidades claras, basadas en la orientación a

procesos

– Satisfacción de los requerimientos COSO (*) para el ambiente de control

de TI
COBIT
Modelo de Negocios para la Seguridad de la Información

– Presenta un enfoque integral y orientado al negocio para la gestión de la

seguridad de la información

– Establece un lenguaje común para referirse a la protección de la

información

– Desafía la visión convencional de la inversión en seguridad de la

información

– Explica en forma detallada el modelo de negocio para gestionar la

seguridad de la información, invitando a utilizar una perspectiva
sistémica
COBIT
Evolución de COBIT
 Sistemas de Seguridad Física
Seguridad Física
CUARTA UNIDAD

Mecanismos generalmente de prevención y detección destinados a

proteger físicamente cualquier recurso o sistema

Procedimientos de control como medidas de prevención y contra

medidas ante amenazas a los recursos y la información confidencial
Seguridad de la Información

Conjunto de reglas, planes y acciones que permiten asegurar la

información manteniendo las propiedades de confidencialidad,
integridad y disponibilidad.

Seguridad de la información no debe ser confundido con el de

seguridad informática
Principios de la Seguridad de la Información
Confidencialidad

La información sea accesible sólo para aquéllos que están

autorizados

Integridad

La información sólo puede ser creada y modificada por quien esté

autorizado a hacerlo

Disponibilidad

La información debe ser accesible para su consulta o modificación

cuando se requiera
Involucrados en la Seguridad de la Información

Talento Humano (Actitud, Aptitud, comportamiento, entre otros)

Tecnología (Diseño de una arquitectura segura, aplicaciones

actualizadas)

Procesos (Constante revisión y mejoramiento continuo)

"Porque no sólo es un tema Tecnológico"

 Protegiendo la Información

https://www.youtube.com/watch?v=I4FCl4RZpqY
Seguridad de la Información

Políticas y Procedimientos

• Estrategias para identificar factores de riesgo

• Enfoque en los factores de alto riesgo
• Definir políticas es importante para mantener la
consistencia de la seguridad
• Las políticas definidas deberán ser divulgadas y de fácil
acceso
• Establecer y mantener conciencia de la seguridad
Factores de Riesgo

Estrategias para identificar factores de riesgo

Factores de Riesgo

Enfoque en los factores de Alto Riesgo

Asignar peso específico

Seguridad Informática

La seguridad informática o seguridad de tecnologías de la

información es el área de la informática que se enfoca en la
protección de la infraestructura computacional y todo lo
relacionado con esta y, especialmente, la información contenida o
circulante.

Protocolo AAA
Protocolo AAA
Autenticación
Proceso por el que una entidad prueba su identidad. Primera
entidad es un cliente y la segunda un servidor.
Ejemplos posibles de estos: Contraseñas

Autorización
Concesión de privilegios específicos.
La mayor parte de las veces el privilegio concedido consiste en el
uso de un determinado tipo de servicio
Protocolo AAA

Auditoría
Consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información mantiene la integridad de
los datos
Amenazas en Seguridad Informática
 Delitos Informáticos

Es toda aquella acción, típica, antijurídica y culpable, que se da por

vías informáticas o que tiene como objetivo destruir y dañar
ordenadores, medios electrónicos y redes de Internet.

Los delitos informáticos son aquellas actividades ilícitas que:

(a) Se cometen mediante el uso de computadoras, sistemas
informáticos u otros dispositivos de comunicación (la informática es
el medio o instrumento para realizar un delito);
(b) Tienen por objeto causar daños, provocar pérdidas o impedir el uso
de sistemas informáticos (delitos informáticos).
 Crímenes Informáticos

Terrorismo
Spam Fraude Hostigamiento virtual
/ Acoso

Contenido
obsceno u
ofensivo
Crímenes Informáticos

El Spam o los correos electrónicos, no

solicitados para propósito comercial, es
ilegal en diferentes grados. La
regulación de la ley en cuanto al Spam
en el mundo es relativamente nueva y
por lo general impone normas que
permiten la legalidad del Spam en
diferentes niveles.
Crímenes Informáticos

El fraude informático es inducir a

otro a hacer o a restringirse en
hacer alguna cosa de lo cual el
criminal obtendrá un beneficio
Crímenes Informáticos

El contenido de un website o de otro

medio de comunicación puede ser
obsceno u ofensivo por una gran
gama de razones. En ciertos casos
dicho contenido puede ser ilegal.
Igualmente, no existe una normativa
legal universal y la regulación judicial
puede variar de país a país,
Crímenes Informáticos
El hostigamiento o acoso es un
contenido que se dirige de manera
específica a un individuo o grupo
con comentarios llenos de insultos a
causa de su sexo, raza, religión,
nacionalidad, orientación sexual,
etc. Esto ocurre por lo general en
canales de conversación, grupos o
con el envío de correos electrónicos
destinados en exclusiva a ofender
Crímenes Informáticos

Desde 2001 el terrorismo virtual se ha

convertido en uno de los novedosos
delitos de los criminales informáticos los
cuales deciden atacar masivamente el
sistema de ordenadores de una empresa,
compañía, centro de estudios, oficinas
oficiales, etc.
http://map.norsecorp.com/#/
Plan de Continuidad del Negocio y Recuperación

de Desastres

Plan de la Continuidad del Negocio es un proceso diseñado para

reducir el riesgo del negocio de la organización que surja de una
interrupción no esperada de las funciones/operaciones críticas .
Esto incluye recursos humanos/materiales que soportan estas
funciones/operaciones críticas y garantía de la continuidad de por lo
menos el nivel mínimo de los servicios necesarios
Plan de Continuidad del Negocio y Recuperación

de Desastres
El objetivo de la Continuidad del Negocio/ Recuperación ante Desastres es permitir
que un negocio continúe brindando sus servicios críticos en caso de una interrupción
y que pueda sobrevivir a una interrupción desastrosa de sus sistemas de información.

Lo primero que hay que hacer para desarrollar un BCP es identificar los procesos de
negocio de importancia estratégica.

Teniendo presente los procesos clave, el proceso de gestión de riesgos debe

comenzar con una valoración de riesgos. El riesgo es directamente proporcional al
impacto a la organización y la probabilidad de que ocurra la amenaza percibida
Plan de Continuidad del Negocio y Recuperación

de Desastres

Dada la creciente dependencia de las empresas a la tecnología de la

información para dirigir sus operaciones, un plan de recuperación de
desastres cobra cada día más relevancia, y por lo tanto, es
indispensable que toda empresa disponga de él. Según IBM de las
empresas que han tenido una pérdida principal de registros
automatizados, el 43 % nunca vuelve a abrir, el 51 % cierra en menos
de dos años y sólo el 6 % sobrevivirá a largo plazo.
Plan de Continuidad del Negocio y Recuperación

de Desastres
Objetivos
• Determinar la vulnerabilidad a las interrupciones del servicio importantes en el
centro de datos e instalaciones de negocios y definir las medidas preventivas.

• Identificar y analizar el coste, servicio, la imagen pública y otras consecuencias de

las interrupciones prolongadas del servicio en el centro de datos y otras
instalaciones empresariales.

• Determinar las necesidades inmediatas, a medio y largo plazo, de recuperación y

los recursos necesarios.

• Identificar las alternativas y seleccionar los métodos más rentables para

proporcionar la función de las operaciones de copia de seguridad y la restauración
de un servicio a tiempo.

• Desarrollar e implementar planes de contingencia

Plan de Continuidad del Negocio y Recuperación

de Desastres
Para minimizar el tiempo de inactividad y la pérdida de datos hay que
tener en cuenta los siguientes conceptos:
• Objetivo de Tiempo de Recuperación (RTO, Recovery Time
Objective) es el tiempo en el que el proceso de negocio debe estar
restaurado después de un incidente grave
• Objetivo de Punto de Recuperación (RPO, Recovery Point
Objective) es la edad de los archivos que se deben recuperar de
almacenamiento de copia de seguridad para las operaciones tras un
incidente grave
Plan de Continuidad del Negocio y Recuperación de
Desastres
Plan de Continuidad del Negocio y Recuperación

de Desastres

Metodología de un Plan de Recuperación ante Desastres (DRP)

Hay tres aspectos claves para el análisis:
• Criticidad de los recursos de información relacionados con los
procesos críticos del negocio.
• Período de recuperación crítico antes de incurrir en pérdidas
significativas.
• Sistema de clasificación de riesgos.
Plan de Continuidad del Negocio y Recuperación de Desastres

https://www.youtube.com/watch?v=CW4C_iVZr_4
Documentación de las Auditorías de Sistemas
Informáticos

Documentación y Técnicas de Recopilación

Cuestionarios
• Las auditorías informáticas se materializan recabando información y
documentación de todo tipo. Los informes finales de los auditores dependen
de sus capacidades para analizar las situaciones de debilidad o fortaleza
de los diferentes entornos.
• El trabajo del auditor consiste en lograr toda la información necesaria para la
emisión de un juicio global objetivo, siempre amparado en hechos
demostrables, llamados también evidencias
Documentación de las Auditorías de Sistemas Informáticos

• Se suele solicitar el completado de cuestionarios que se envían

a las personas concretas que el auditor cree adecuadas.
• Estos cuestionarios deben ser específicos para cada situación,
y muy cuidados en su fondo y su forma.
• Cabe aclarar, que esta primera fase puede omitirse cuando los
auditores hayan adquirido por otro medios la información que
aquellos pre-impresos hubieran proporcionado.
Documentación de las Auditorías de Sistemas
Informáticos
Entrevistas
• El auditor comienza a continuación las relaciones personales
con el auditado.
• La entrevista es una de las actividades personales más
importante del auditor; recoge más información, y mejor
matizada, que la proporcionada por medios propios puramente
técnicos o por las respuestas escritas a cuestionarios.
• interrogatorio; es lo que hace un auditor, interroga y se
interroga a sí mismo.
Documentación de las Auditorías de Sistemas
Informáticos

Checklist

• Tener claro lo que se necesita saber, y por qué.

• Sus cuestionarios son vitales para el trabajo de análisis,

cruzamiento y síntesis posterior.
Documentación de las Auditorías de Sistemas
Informáticos

Trazas y/o Huellas

Con frecuencia, el auditor debe verificar que los programas, tanto

de los Sistemas como de usuario, realizan exactamente las
funciones previstas, y no otras. Para ello se apoya en productos
Software muy potentes y modulares que, entre otras funciones,
rastrean los caminos que siguen los datos a través del programa.
Peritaje Informático
Se conoce como peritaje informático a los estudios e
investigaciones orientados a la obtención de una prueba
informática de aplicación en un asunto judicial para que sirva a un
juez para decidir sobre la culpabilidad o inocencia de una de las
partes

La pericia, por ser un medio probatorio, tiene sus normas,

previstas en los códigos procesales, respecto a la designación,
tiempos y forma de presentación.
Herramientas informáticas más comunes:

• Backup y copias espejos de discos duros y medios removibles.

• Software de búsqueda de archivos.
• Google Desktop.
• Software de Recuperación de archivos borrados.
• Análisis de la memoria Ram.
• Análisis de la red.
• Actividad del equipo.
• Borrado definitivo
• Búsqueda de mails, historial de internet, chats.
• Otros: Encase Forensic, CondorLinux, Maltego, impresiones.