1. UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS
UNIDAD ACADÉMICA DE PINOS
ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA
IDS. LUCIA GONZÁLEZ HERNÁNDEZ
AUDITORIA INFORMÁTICA
EDGAR SAMUEL RAMÍREZ MATA
CRUZ ENRIQUE RODRÍGUEZ MIRELES
PINOS ZAC, 22 de agosto 2014
SoftVISION
2. Objetivo
Crear nuevo software y juegos para adquirir habilidades en el ámbito educativo de una forma dinámica y divertida para los usuarios e implementarlos en distintas plataformas.
Misión
Crear e implementar aplicaciones competitivas e innovadoras para ser distribuidas en las comunidades educativas y así agilizar el aprendizaje de los usuarios.
Visión
Ser una organización con un gran impacto en sus productos a nivel mundial y así asegurar el crecimiento de la empresa así como su permanencia en el mercado del software.
DIRECTOR
SUBDIRECTOR
JEFE ADMINISTRATIVO
RECURSOS HUMANOS
RECURSOS TECNOLOGICOS
RECURSOS FINANCIEROS
DESARROLLO DE SOFTWARE
JEFE DE PERSONAL
ABOGADO
JEFE DE RECURSOS
LABORATORISTA
CONTADOR
ADMINISTRADOR DE PROYECTOS
ANALISTAS
DISEÑADORES
TERTERS
DOCUMENTADORES
PROGRAMADORES
3. Director: Quien dirige toda la empresa.
Subdirector: Ayuda al director a dirigir la empresa y sustituye al mismo en caso de que no asista.
Jefe administrativo: Encargado de organizar todas las actividades que se tengan realizar en la empresa.
Recursos humanos: Lleva todo el control de los empleados.
Jefe de personal: Verifica que todos los empleados realicen su función, además de controlarlos, asignar sus puestos y salarios.
Abogado: Lleva a cabo todos los procesos legales de la organización.
Recursos tecnológicos: Todo el material de software y hardware que los empleados necesitan en los laboratorios.
Jefe de recursos: Asignar el material requerido por los desarrolladores.
Laboratoristas: Le da mantenimiento a los equipos tecnológicos y de redes.
Recursos financieros: Encarga de llevar el control todas las finanzas.
Contador: Administra los recursos monetarios de la empresa y salarios empleados.
Desarrollo de software: Desarrollar los proyectos de software.
Administrador de proyectos: Administra y controla los recursos asignados a un proyecto, con el fin de que se cumplan correctamente los planes definidos.
Diseñadores: Define la arquitectura de hardware y software, componentes, módulos datos
4. de un sistema cómputo para satisfacer ciertos requerimientos.
Programadores: Escribe, depura y mantiene el código fuente de un programa informático, es decir, del conjunto de instrucciones que ejecuta el hardware una computadora para realizar una tarea determinada.
Tester: Detecta la mayor cantidad de fallas severas (incidentes alto impacto) con el mínimo esfuerzo, antes de que el software salga a producción.
Documentadores: Realiza toda la documentación que se debe de entregar una vez que un proyecto o desarrollo se termine.
Objetivos de la seguridad informática:
Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos:
o Información: Es el objeto de mayor valor para una organización.
o El objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico.
Equipos que la soportan: Software, hardware y organización.
Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones manejan la información.
Objetivos de la auditoria en seguridad
Objetivos generales:
Tener un panorama actualizado de los sistemas información en cuanto a la seguridad física, las políticas de utilización, transferencia de datos y seguridad los activos.
Objetivos generales:
Evaluar si la persona encargada del mantenimiento y programación sistema informático de la empresa cumple con el perfil del puesto.
5. Identificar las áreas críticas, con respecto a la seguridad del equipo área de informática.
Diseñar los procedimientos a efectuar en el desarrollo de la auditoría del área informática.
Análisis de riesgos
El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas aseguren, más allá de la seguridad física que se establezca sobre los equipos en cuales almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder ellos las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta: "lo no está permitido debe estar prohibido" y ésta debe ser la meta perseguida.
Los medios para conseguirlo son:
Restringir el acceso (de personas la organización y las que no lo son) a los programas y archivos.
Asegurar que los operadores puedan trabajar pero no modificar programas ni los archivos que no correspondan (sin una supervisión minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
Asegurar que la información transmitida sea misma reciba el destinatario al cual se ha enviado y que no le llegue a otro.
Asegurar que existan sistemas y pasos de emergencia alternativos transmisión entre diferentes puntos.
Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.
Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.
Las amenazas
6. Una vez que la programación y el funcionamiento de un dispositivo almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que
pueden afectar a los datos, las cuales son menudo imprevisibles o inevitables, Calidad y seguridad de la información y auditoría informática modo que única protección posible es redundancia (en el caso de los datos) y la descentralización (por ejemplo mediante estructura de redes en el caso de las comunicaciones).
Estos fenómenos pueden ser causados por:
El usuario: causa del mayor problema ligado a la seguridad de un sistema informático.
Programas maliciosos: programas destinados a perjudicar o hacer un uso ilícito de los recursos del sistema. Es instalado en el ordenador abriendo una puerta a intrusos o bien modificando los datos.
Un intruso: persona que consigue acceder a los datos o programas de cuales no tiene acceso.
Un siniestro, una mala manipulación o mal intención derivan a la pérdida del material de los archivos.
El personal interno de Sistemas. Las pujas poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.
Técnicas de aseguramiento del sistema
Codificar la información.
Vigilancia de red.
Tecnologías repelentes o protectoras.
Objetivos de las medidas seguridad
Pueden ser vistos como una serie de niveles control: si un nivel falla, entonces otro toma posesión u ocupa su lugar y continúa con la operación del sistema, de forma que el impacto global que pudiera ocasionar la falla se reduce.
Estos objetivos son:
• Disuadir. En este nivel la meta es prevenir cualquier tipo de amenaza o desastre que pueda ocurrir.
7. • Detectar. La disuasión total generalmente no se consigue; por lo tanto, en este nivel establecen métodos de monitoreo y vigilancia que reporten cualquier riesgo o peligro, y que permitan tomar las acciones correctivas pertinentes.
• Minimizar el impacto de pérdida o desastre. Si un accidente contratiempo ocurre, deben establecerse procedimientos que ayuden Calidad y seguridad de la información y auditoría informática a reducir la pérdida o el daño.
• Investigar. Si la pérdida ocurre, puede realizarse una investigación que ayude a determinar lo pasó. La información que derive de esta investigación puede servir para futuras planeaciones de seguridad.
• Recuperar. Las medidas de seguridad implican que debe haber un plan acción para recuperación en caso de que un accidente o desastre ocurra (sea cual fuere su causa), y hacerlo la manera más pronta posible.
PREGUNTAS
SI
NO
N/A
SEGURIDAD
1. ¿Considera usted que hay demasiada humedad o exce- sivo calor, lo cual pueda deteriorar los computadores?
2. ¿En alguna ocasión usted ha estado trabajando en una aplicación y de pronto cuando la está ejecutando se ha cambiado y le ha generado una cosa diferente a lo que esperaba?
3. ¿En alguna ocasión un empleado se ha enfermado y le ha dicho el médico que es resultado del uso de algún aparato eléctrico?
4. ¿Tiene la empresa en algún lugar diferente al negocio, copias de seguridad los software y documentación importante que al darse un siniestro pueda afectar a la organización?
8. 5. ¿Le han dado clave para ingresar al sistema?
6. ¿La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad que tiene dentro de la empresa?
7. ¿Alguna vez su equipo no ha funcionado y al verificar algún accesorio ha estado desconectado?
8. ¿El acceso a internet es para todos los empleados?
9. ¿Alguna vez por casualidad ha abierto algún documento que solo debió ser abierto por funcionarios de nivel su- perior?
10. ¿Alguna vez al insertar su contraseña el sistema le ha dado mensaje de error y aun cuando lo escribe correc- tamente, el mensaje se ha repetido?
Encuesta de Seguridad Informática
1. ¿Cuántos empleados existen en total en su organización?
1 a 50
51 a 100
101 a 200
201 a 300
301 a 500
9. 501 a 1000
Más de 1000
2. ¿Cuántas personas de tiempo completo o equivalente se dedican a la seguridad informática?
Ninguna
1 a 5
6 a 10
11 a 15
Más de 15
3. Basado en la respuesta anterior, marque las certificaciones relacionadas con seguridad de la
información que poseen los profesionales dedicados a estos temas.
Ninguna
CISSP - Certified Information System Security Professional
CISA - Certified Information System Auditor
CISM - Certified Information Security Manager
CFE - Certified Fraud Examiner
CIFI - Certified Information Forensics Investigator
CIA - Certified Internal Auditor
Otra:
¿Cuál?
4. ¿De quién depende la responsabilidad de la seguridad informática de su organización?
Auditoria interna
Director de Seguridad Informática
Director Departamento de Sistemas/Tecnología
Gerente Ejecutivo
Gerente de Finanzas
10. No se tiene especificado formalmente
Otra:
¿Cuál?
5. El cargo en mi organización es:
Presidente/Gerente General
Director Ejecutivo
Director/Vicepresidente
Director/Jefe de Seguridad Informática
Profesional del Departamento de Seguridad Informática
Profesional de Departamento de Sistemas/Tecnología
Auditor Interno
Otra:
¿Cuál?
6. ¿El presupuesto global de informática de su organización, incluye aspectos de seguridad de la
información?
Sí
No
7. ¿En qué se centra el gasto de seguridad de su organización? (Elige todas las que apliquen)
Protección de la red
Proteger los datos críticos de la organización
Proteger la propiedad intelectual
Proteger el almacenamiento de datos de clientes
Concientización/formación del usuario final
Comercio/negocios electrónicos
Desarrollo y afinamiento de seguridad de las aplicaciones
11. Asesores de seguridad informática
Contratación de personal más calificado
Evaluaciones de seguridad internas y externas
Otra:
¿Cuál?
8. ¿Cuál es el presupuesto total previsto para seguridad informática durante el 2005: gastos,
hardware, software, asesorías y sueldos? (Elija una. Valores en Dólares Americanos)
Menos de USD$50.000
Entre USD$50.001 y USD$70.000
Entre USD$70.001 y USD$90.000
Entre USD$90.001 y USD$110.000
Entre USD$110.001 y USD$130.000
Más de USD$130.000
9. ¿Cuál es la proyección del presupuesto total previsto para seguridad informática durante el
2006: gastos, hardware, software, asesorías y sueldos?
Menos de USD$50.000
Entre USD$50.001 y USD$70.000
Entre USD$70.001 y USD$90.000
Entre USD$90.001 y USD$110.000
Entre USD$110.001 y USD$130.000
Más de USD$130.000
10. Durante el año anterior qué casos de violaciones de seguridad tuvieron lugar en su organiza-ción?
(Elija todas las respuestas aplicables)
Ninguno
Manipulación de aplicaciones de software
Accesos no autorizados al web
12. Fraude
Virus
Robo de datos
Caballos de Troya
Monitoreo no autorizado del tráfico
Negación del servicio
Pérdida de integridad
Pérdida de información
Otros:
¿Cuales?
11. ¿Cuantas intrusiones o incidentes de seguridad identificó en promedio durante el año ante-rior?
Ninguna
Entre 1-3
Entre 4-7
Más de 7
12. Cómo se enteró de éstas violaciones de seguridad? (Elija todas las aplicables)
Material o datos alterados
Análisis de registros de auditoría/sistema de archivos/registros Firewall
Sistema de detección de intrusos
Alertado por un cliente/proveedor
Alertado por un colega
Seminarios o conferencias Nacionales e internacionales
Otros:
¿Cuál?
13. 13. Una vez ocurre la violación de seguridad, ésta se notifica: (Elija todas las aplicables)
Asesor legal
Autoridades locales/regionales
Autoridades nacionales
Equipo de atención de incidentes
Ninguno: No se denuncian
Otro:
¿Cuál?
14. Si se decide no denunciar el incidente de seguridad, ¿cuáles son los motivos o principales
preocupaciones? (Elija todas las aplicables)
Pérdida de valor de accionistas
Publicación de noticias desfavorables en los medios/pérdida de imagen
Responsabilidad legal
Motivaciones personales
Vulnerabilidad ante la competencia
Otro:
¿Cuál?
15. ¿Su organización es consciente de que existe evidencia digital que debe ser identificada, ase-gurada
y analizada, como parte del proceso de atención de incidentes de seguridad informáti-ca?
Sí
No
16. Durante el año anterior cuántas pruebas de seguridad realizó su organización para valorar el
estado de seguridad informática? (Elija una)
Una al año
Entre 2 y 4 al año
14. Más de 4 al año
Ninguna
17. ¿Cuáles de los siguientes mecanismos utiliza actualmente su organización para proteger sus
sistemas de información? (Elija todos los aplicables)
Smart Cards
Biométricos (huella digital, iris, etc.)
Antivirus
Contraseñas
Encripción de datos
Filtro de paquetes
Firewalls Hardware
Firewalls Software
Firmas digitales/certificados digitales
VPN/IPSec
Proxies
Sistemas de detección de intrusos
Monitoreo 7x24
Otros:
¿Cuales?
18. Usted permanece informado de las fallas de seguridad de sus sistemas a través de: (Elija to-das
las que aplique)
Notificaciones de proveedores
Notificaciones de colegas
Lectura de artículos en revistas especializadas
Lectura y análisis de listas de seguridad (BUGTRAQ, SEGURINFO, NTBUGTRAQ, etc)
No se tiene este hábito.
15. 19. Qué describe mejor la política de seguridad de su organización? (Elija una)
No se tienen políticas de seguridad definidas
Actualmente se encuentran en desarrollo
Política formal, escrita documentada e informada a todo el personal
20. ¿Cuál de los siguientes es el obstáculo principal para lograr una adecuada seguridad informá-tica
en su organización?
Inexistencia de política de seguridad
Falta de tiempo
Falta de formación técnica
Falta de apoyo directivo
Falta de colaboración entre áreas/departamentos
Complejidad tecnológica
Poco entendimiento de la seguridad informática
21. ¿Su organización (Todo el personal), reconoce la información como un activo más a prote-ger?
Sí
No
No Sabe
22. ¿Actualmente la organización posee contactos o relaciones con autoridades nacionales e in-ternacionales
para colaborar y recibir asistencia en casos de persecuciones de intrusos?
No
No Sabe
Si
¿Cuales?
16. RESULTADOS
Aplicada a laboratorista
PREGUNTAS
SI
NO
N/A
SEGURIDAD
1. ¿Considera usted que hay demasiada humedad o exce- sivo calor, lo cual pueda deteriorar los computadores?
2. ¿En alguna ocasión usted ha estado trabajando en una aplicación y de pronto cuando la está ejecutando se ha cambiado y le ha generado una cosa diferente a lo que esperaba?
3. ¿En alguna ocasión un empleado se ha enfermado y le ha dicho el médico que es resultado del uso de algún aparato eléctrico?
4. ¿Tiene la empresa en algún lugar diferente al negocio, copias de seguridad los software y documentación importante que al darse un siniestro pueda afectar a la organización?
5. ¿Le han dado clave para ingresar al sistema?
6. ¿La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad que tiene dentro de empresa?
17. 7. ¿Alguna vez su equipo no ha funcionado y al verificar algún accesorio ha estado desconectado?
8. ¿El acceso a internet es para todos los empleados?
9. ¿Alguna vez por casualidad ha abierto algún documento que solo debió ser abierto por funcionarios de nivel su- perior?
10. ¿Alguna vez al insertar su contraseña el sistema le ha dado mensaje de error y aun cuando lo escribe correc- tamente, el mensaje se ha repetido?
Encuesta de Seguridad Informática
Aplicado a un programador 1. ¿Cuántos empleados existen en total en su organización?
1 a 50
51 a 100
101 a 200
201 a 300
301 a 500
501 a 1000
Más de 1000
18. 2. ¿Cuántas personas de tiempo completo o equivalente se dedican a la seguridad informática?
Ninguna
1 a 5
6 a 10
11 a 15
Más de 15
3. Basado en la respuesta anterior, marque las certificaciones relacionadas con seguridad de la
información que poseen los profesionales dedicados a estos temas.
Ninguna
CISSP - Certified Information System Security Professional
CISA - Certified Information System Auditor
CISM - Certified Information Security Manager
CFE - Certified Fraud Examiner
CIFI - Certified Information Forensics Investigator
CIA - Certified Internal Auditor
Otra:
¿Cuál?
4. ¿De quién depende la responsabilidad de la seguridad informática de su organización?
Auditoria interna
Director de Seguridad Informática
Director Departamento de Sistemas/Tecnología
Gerente Ejecutivo
Gerente de Finanzas
No se tiene especificado formalmente
Otra:
¿Cuál?
19. 5. El cargo en mi organización es:
Presidente/Gerente General
Director Ejecutivo
Director/Vicepresidente
Director/Jefe de Seguridad Informática
Profesional del Departamento de Seguridad Informática
Profesional de Departamento de Sistemas/Tecnología
Auditor Interno
Otra:
¿Cuál?
6. ¿El presupuesto global de informática de su organización, incluye aspectos de seguridad de la
información?
Sí
No
7. ¿En qué se centra el gasto de seguridad de su organización? (Elige todas las que apliquen)
Protección de la red
Proteger los datos críticos de la organización
Proteger la propiedad intelectual
Proteger el almacenamiento de datos de clientes
Concientización/formación del usuario final
Comercio/negocios electrónicos
Desarrollo y afinamiento de seguridad de las aplicaciones
Asesores de seguridad informática
Contratación de personal más calificado
Evaluaciones de seguridad internas y externas
20. Otra:
¿Cuál?
8. ¿Cuál es el presupuesto total previsto para seguridad informática durante el 2005: gastos,
hardware, software, asesorías y sueldos? (Elija una. Valores en Dólares Americanos)
Menos de USD$50.000
Entre USD$50.001 y USD$70.000
Entre USD$70.001 y USD$90.000
Entre USD$90.001 y USD$110.000
Entre USD$110.001 y USD$130.000
Más de USD$130.000
9. ¿Cuál es la proyección del presupuesto total previsto para seguridad informática durante el
2006: gastos, hardware, software, asesorías y sueldos?
Menos de USD$50.000
Entre USD$50.001 y USD$70.000
Entre USD$70.001 y USD$90.000
Entre USD$90.001 y USD$110.000
Entre USD$110.001 y USD$130.000
Más de USD$130.000
10. Durante el año anterior qué casos de violaciones de seguridad tuvieron lugar en su organiza-ción?
(Elija todas las respuestas aplicables)
Ninguno
Manipulación de aplicaciones de software
Accesos no autorizados al web
Fraude
Virus
Robo de datos
21. Caballos de Troya
Monitoreo no autorizado del tráfico
Negación del servicio
Pérdida de integridad
Pérdida de información
Otros:
¿Cuales?
11. ¿Cuantas intrusiones o incidentes de seguridad identificó en promedio durante el año ante-rior?
Ninguna
Entre 1-3
Entre 4-7
Más de 7
12. Cómo se enteró de éstas violaciones de seguridad? (Elija todas las aplicables)
Material o datos alterados
Análisis de registros de auditoría/sistema de archivos/registros Firewall
Sistema de detección de intrusos
Alertado por un cliente/proveedor
Alertado por un colega
Seminarios o conferencias Nacionales e internacionales
Otros:
¿Cuál?
13. Una vez ocurre la violación de seguridad, ésta se notifica: (Elija todas las aplicables)
Asesor legal
Autoridades locales/regionales
22. Autoridades nacionales
Equipo de atención de incidentes
Ninguno: No se denuncian
Otro:
¿Cuál?
14. Si se decide no denunciar el incidente de seguridad, ¿cuáles son los motivos o principales
preocupaciones? (Elija todas las aplicables)
Pérdida de valor de accionistas
Publicación de noticias desfavorables en los medios/pérdida de imagen
Responsabilidad legal
Motivaciones personales
Vulnerabilidad ante la competencia
Otro:
¿Cuál?
15. ¿Su organización es consciente de que existe evidencia digital que debe ser identificada, ase-gurada
y analizada, como parte del proceso de atención de incidentes de seguridad informáti-ca?
Sí
No
16. Durante el año anterior cuántas pruebas de seguridad realizó su organización para valorar el
estado de seguridad informática? (Elija una)
Una al año
Entre 2 y 4 al año
Más de 4 al año
Ninguna
23. 17. Cuáles de los siguientes mecanismos utiliza actualmente su organización para proteger sus
sistemas de información? (Elija todos los aplicables)
Smart Cards
Biométricos (huella digital, iris, etc)
Antivirus
Contraseñas
Encripción de datos
Filtro de paquetes
Firewalls Hardware
Firewalls Software
Firmas digitales/certificados digitales
VPN/IPSec
Proxies
Sistemas de detección de intrusos
Monitoreo 7x24
Otros:
¿Cuales?
18. Usted permanece informado de las fallas de seguridad de sus sistemas a través de: (Elija to-das
las que aplique)
Notificaciones de proveedores
Notificaciones de colegas
Lectura de artículos en revistas especializadas
Lectura y análisis de listas de seguridad (BUGTRAQ, SEGURINFO, NTBUGTRAQ, etc)
No se tiene este hábito.
19. Qué describe mejor la política de seguridad de su organización? (Elija una)
No se tienen políticas de seguridad definidas
24. Actualmente se encuentran en desarrollo
Política formal, escrita documentada e informada a todo el personal
20. ¿Cuál de los siguientes es el obstáculo principal para lograr una adecuada seguridad informá-tica
en su organización?
Inexistencia de política de seguridad
Falta de tiempo
Falta de formación técnica
Falta de apoyo directivo
Falta de colaboración entre áreas/departamentos
Complejidad tecnológica
Poco entendimiento de la seguridad informática
21. ¿Su organización (Todo el personal), reconoce la información como un activo más a prote-ger?
Sí
No
No Sabe
22. ¿Actualmente la organización posee contactos o relaciones con autoridades nacionales e in-ternacionales
para colaborar y recibir asistencia en casos de persecuciones de intrusos?
No
No Sabe
Si
¿Cuales?
25. CONCLUSIONES
Cruz Enrique Rodríguez Mireles
Al realizar este trabajo es de mucha utilidad, ya que nos sirve para si en alguna ocasión realizáramos alguna auditoria informática o incluso al ser un auditado podamos realizar la auditoria de una manera correcta. Al realizar una planeación de auditoria es la parte más importante las fases ya que así ya sabemos lo que vamos a realizar al momento de el trabajo será más sencillo y rápido de ejecutar. Además es necesario determinar las herramientas desde un principio y llevarlas ya planteados para así solamente llegar y aplicarlas en la auditoria.
Edgar Samuel Ramírez Mata
Este trabajo fue muy útil e interesante porque si en un futuro hacemos una auditoria informática ya sabemos cómo realizar sus herramientas. También podemos realizar una planeación de la auditoria y así hacerla más fácil.