Guia Basica para bachillerato de Circuitos Basicos
Auditoria en redes
1. Laura Giselle Rodriguez León
Tecnología En Redes & Seguridad Informática
Corporación Universitaria Minuto De Dios
V Semestre (Nocturno)
Auditoria En Redes
AUDITORIA EN REDES
La auditoría informática es un proceso llevado a cabo por profesionales
especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un sistema de información salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente
los fines de la organización, utiliza eficientemente los recursos, y cumple con las
leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso
de los recursos y los flujos de información dentro de una organización y determinar
qué información es crítica para el cumplimiento de su misión y objetivos,
identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan
flujos de información eficientes. En si la auditoria informática tiene 2 tipos las
cuales son:
• AUDITORIA INTERNA: es aquella que se hace adentro de la empresa; sin
contratar a personas de afuera.
• AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la
empresa contrata a personas de afuera para que haga la auditoria en su
empresa. Auditar consiste principalmente en estudiar los mecanismos de
control que están implantados en una empresa u organización,
determinando si los mismos son adecuados y cumplen unos determinados
objetivos o estrategias, estableciendo los cambios que se deberían realizar
para la consecución de los mismos. Los mecanismos de control pueden ser
directivos, preventivos, de detección, correctivos o de recuperación ante
una contingencia.
Los objetivos son:
• El análisis de la eficiencia de los Sistemas Informáticos
• La verificación del cumplimiento de la Normativa en este ámbito
• La revisión de la eficaz gestión de los recursos informáticos.
Sus beneficios son:
• Mejora la imagen pública.
2. Laura Giselle Rodriguez León
Tecnología En Redes & Seguridad Informática
Corporación Universitaria Minuto De Dios
V Semestre (Nocturno)
Auditoria En Redes
• Confianza en los usuarios sobre la seguridad y control de los servicios
de TI.
• Optimiza las relaciones internas y del clima de trabajo.
• Disminuye los costos de la mala calidad (reprocesos, rechazos,
reclamos, entre otros).
• Genera un balance de los riesgos en TI.
• Realiza un control de la inversión en un entorno de TI, a menudo
impredecible.
La auditoría informática sirve para mejorar ciertas características en la
empresa como:
• Desempeño
• Fiabilidad
• Eficacia
• Rentabilidad
• Seguridad
• Privacidad
Generalmente se puede desarrollar en alguna o combinación de las
siguientes áreas:
• Gobierno corporativo
• Administración del Ciclo de vida de los sistemas
• Servicios de Entrega y Soporte
• Protección y Seguridad
• Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio
de la auditoría informática ha promovido la creación y desarrollo de mejores
prácticas como COBIT, COSO ITIL.
3. Laura Giselle Rodriguez León
Tecnología En Redes & Seguridad Informática
Corporación Universitaria Minuto De Dios
V Semestre (Nocturno)
Auditoria En Redes
Actualmente la certificación de ISACA para ser CISA Certified Information Systems
Auditor es una de las más reconocidas y avaladas por los estándares
internacionales ya que el proceso de selección consta de un examen inicial
bastante extenso y la necesidad de mantenerse actualizado acumulando horas
(puntos) para no perder la certificación.
Desde el punto de vista de informática la podemos clasificar así:
a) Auditoría Informática de Explotación
b) Auditoría Informática de Desarrollo de Proyectos o Aplicaciones
c) Auditoría Informática de Sistemas
d) Auditoría Informática de Comunicación de Redes
e) Auditoría de la Seguridad Informática
• Auditoría Informática de Explotación. La explotación Informática se ocupa
de producir resultados, tales como listados, archivos soportados
magnéticamente, órdenes automatizadas, modificación de procesos, etc.
Para realizar la explotación Informática se dispone de datos, las cuales
sufren una transformación y se someten a controles de integridad y calidad.
(Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero
pueden que no sirvan; estos dos juntos realizan una información buena.
• Auditoría Informática de Desarrollo de Proyectos o Aplicaciones. La función
de desarrollo de una evaluación del llamado Análisis de Programación y
sistemas.
• Auditoría Informática de Sistemas. Se ocupa de analizar la actividad que se
conoce como técnica de sistemas, en todos sus factores. La importancia
4. Laura Giselle Rodriguez León
Tecnología En Redes & Seguridad Informática
Corporación Universitaria Minuto De Dios
V Semestre (Nocturno)
Auditoria En Redes
creciente de las telecomunicaciones o propicia de que las comunicaciones,
líneas y redes de las instalaciones informáticas se auditen por separado,
aunque formen parte del entorno general del sistema. (Ej. Auditar el
cableado estructurado, ancho de banda de una red LAN)
• Auditoria Informática de comunicación y Redes. Este tipo de Auditoría
deberá inquirir o actuar sobre índices de utilización de las líneas
contratadas con información sobre tiempos de uso, deberá conocer la
topología de la red de comunicaciones, ya sea la actual o la desactualizada.
Deberá conocer cuantas líneas existen, como son, donde están instaladas,
y sobre ellas hacer una suposición de inoperatividad Informática. Todas
estas actividades deben estar coordinadas y dependientes de una sola
organización. (Debemos conocer los tipos de mapas actuales y anteriores,
como son las líneas, el ancho de banda, suponer que todas las líneas están
mal, la suposición mala confirmarlo).
• Auditoría de la Seguridad Informática. Se debe tener presente la cantidad
de información almacenada en el computador, la cual en muchos casos
puede ser confidencial, ya sea individuos, las empresa o las instituciones, lo
que significa que se debe cuidar del mal uso de esta información, de los
robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total.
En la actualidad se debe también cuidar la información d los virus
informáticos, los cuales permanecen ocultos y dañan sistemáticamente los
datos.
CARACTERÍSTICAS DE LA AUDITORIA DE SISTEMAS.
La información de la empresa y para la empresa, siempre importante, se ha
convertido en un activo Real de la misma, como sus stocks o materias primas si
las hay. Por ende, han de realizarse inversiones informáticas. Del mismo modo,
los sistemas informáticos han de protegerse de modo global y particular: A ello se
debe la existencia de la Auditoría de Seguridad Informática en general, o a la
Auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o
Técnica de Sistemas.
5. Laura Giselle Rodriguez León
Tecnología En Redes & Seguridad Informática
Corporación Universitaria Minuto De Dios
V Semestre (Nocturno)
Auditoria En Redes
Cuando se producen cambios estructurales en la informática, se reorganiza de
alguna forma su función: Se está en el campo de la Auditoría de Organización
Informática.
Estos tres tipos de Auditoría engloban a las actividades auditoras que se realizan
en una Auditoría parcial. De otra manera: cuando se realiza una Auditoría del área
de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese
desarrollo existen, además de ineficiencias, debilidades de organización, o de
inversiones, o de seguridad, o alguna mezcla de ellas.
Síntomas de Necesidad de una Auditoría Informática: Las empresas acuden a las
Auditoría externas cuando existen síntomas bien perceptibles de debilidad. Estos
síntomas pueden agruparse en clases:
Síntomas de descoordinación y Desorganización:
No coinciden los objetivos de la informática de la compañía y de la propia
compañía
Los estándares de productividad se desvían sensiblemente de los
promedios conseguidos habitualmente. (Puede suceder con algún cambio
masivo de personal, o en una reestructuración fallida de alguna área o en la
modificación de alguna norma importante.)
Síntomas de mala imagen e insatisfacción de los usuarios:
No se atienden las peticiones de cambios de los usuarios. (Ej. Cambios de
software en los terminales de usuario, refrescamiento de paneles, variación
de los ficheros que deben ponerse diariamente a su disposición, etc.)
No se reparan las averías de hardware, no se resuelven incidencias en
plazos razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados
periódicos. Pequeñas desviaciones pueden causar importantes desajustes
en la actividad del usuario, en especial en los resultados de aplicaciones
críticas y sensibles.
Síntomas de debilidades económicas - financiero:
Incremento desmesurado de costos
6. Laura Giselle Rodriguez León
Tecnología En Redes & Seguridad Informática
Corporación Universitaria Minuto De Dios
V Semestre (Nocturno)
Auditoria En Redes
Necesidad de justificación de inversiones informáticas (La empresa no
está absolutamente convencida de tal necesidad y decide contrastar
opiniones)
Desviaciones presupuestarias significativas
Costos y plazos de nuevos proyectos (deben auditarse simultáneamente
a desarrollo de proyectos y al órgano que realizo la petición).
Síntomas de inseguridad: Evaluación de riesgos
Seguridad Lógica
Seguridad Física
Confidencialidad (Los datos son de propiedad inicialmente de la
organización que los genera. Los datos de personal son especialmente
confidenciales)
- Continuidad del servicio. Establece la estrategias de continuidad entre fallo
mediante planes de contingencia.
- Centro de proceso de datos fuera de control. Si tal situación llegara a percibirse,
sería prácticamente inútil la Auditoría. El síntoma debe ser sustituido por el mínimo
indicio.