Nos cambiamos

A continuación les dejo la liga para el nuevo blog de auditoria informatica, sigue siendo de wordpress pero con otro servidor.

Para visitar el nuevo blog

da clic aqui

Anuncios

Reporte #1 de Auditoria

En el siguiente enlace encontraras el primer reporte de la auditoria que estaremos llevando a cabo durante este semestre en el CBTA 101.

http://docs.google.com/View?id=ddrbv3jf_3w4kvm8hh

No olvides comentar

Actividad 2. Cuadro comparativo

En el siguiente enlace encontraras un cuadro comparativo de algunas de las diversas herramientas y tecnicas que puede utilizar un auditor informatico para recolectar informacion del auditado.

cuadro comparativo

No Olvides comentar.

Mapa conceptual. Objetivos de la auditoria.

objetivos de la auditoria

Actividad 1. Mapa conceptual

Entrevista & Encuesta

Para el encargado del área de redes



1.-¿Donde se encuentran localizadas sus instalaciones?

2.-¿Con que tipo de Equipo cuenta?

3.-¿Cuantas personas trabajan en el departamento?

4.-¿Estan capacitadas para la tarea que desempeñan?

5.-¿El departamento tiene todo legal?

6.-¿Que tipo de documentación del departamento?

7.-¿Que tipo de seguridad tienen implementada?

8.-¿Que tanta antiguedad tienen sus equipos?

9.-¿Tienenplanes anti-fallas?¿Cuales?

10.-¿Con cuanto presupuesto tiene asignado?


Ejemlo de una ENCUESTA
Para el encargado del área de redes.

1.-En cuanto a funcionamiento. ¿Como calificarias a tu departamento de redes?
[BUENO]   [MALO]   [REGULAR]   [EXCELENTE]   [PUEDE MEJORAR]

2.-Y al personal ¿Como lo consideras?
[PODRIA SER PEOR]   [ ACEPTABLE]   [MUY CAPACITADO]   [NO SIRVE]   [EN DESARROLLO]

3.- En cuanto a la seguridad del departamento, Tu, consideras que  es…

[SUFICIENTE]   [NORMAL]   [EXAGERADA]   [¿CUAL SEGURIDAD?]   [LA MEJOR]

4.- ¿Que piensas de la red de la empresa?

[NO SIRVE]   [PUEDE MEJORAR]   [MUY BUENA]   [INESTABLE]  [SEGURA]   [NO DA PROBLEMAS]   [FUNCIONA]

5.-Si pudieras decidir, ¿ Que cambiarias para que el departamento funcione mejor?
[EL EQUIPO]   [EL PERSONAL]   [LA RED]   [NADA]   [LA UBICACION]  [MECANISMOS DE SEGURIDAD]   [OTRA, ESPECIFIQUE ___________]

7.-En general, ¿Como calificarias al departamento?

[BUENO]   [MALO]   [REGULAR]   [PESIMO]   [EXCELENTE]   [BUENO, PERO PUEDE MEJORAR]   [NO SE]

8.- y del 0 al 100 ¿Como lo calificarias?

[100]  [95]   [90]   [85]   [80]   [75]   [70]  [65]   [MENOS DE 60]

9.- ¿Por que crees que es esta encuesta?

[PARA NADA]   [RUTINA]   [NO SE]   [ENCONTRARON ERRORES]  [SUPERVISION]   [EVALUAR]   [QUIEREN MEJORAR]

Principios deontologicos del auditor informatico.

A continuacion se especifican a manera de caracteristicas cada uno de los principios propios del auditor informatico.

  • Principio de Beneficio del auditado. Aqui se refiere al hecho de que se debe de obtener el maximo beneficio con el equipo con que se cuenta, además de que el auditor debe ser ajeno a la empresa y sus integrantes además de que no debe de salir beneficiado con la auditoria.
  • Principio de calidad.El auditor debe brindar un trabajo de calidad con las herramientas que tiene, pues tiene la libertad de utilizar todo lo que cra necesario y con las condiciones tecnicas adecuadas.
  • Principio de capacidad. El auditor debe de ser capaz de realizar su tarea, además de estar consiente de sus capacidades y aptitudes.
  • Principio de cautela. Debe de ser cuidadoso a la hora de expresarse para no inducir a gastos o acciones innecesarias.
  • Principio de comportamiento profesional. Exige estar consiente de sus virtudes y deficiencias, además de que debe saber pedir ayuda y dar el credito a quien lo merezca y asi mismo debe de respetar la politica y puntos de vista de la empresa que audita.
  • Principio de concentracion en el trabajo. Involucra poner enfasis y dedicar tiempo a cada tarea, no copy-paste.
  • Principio de confianza.  El auditor debe ser confiable, tanto de hechos y palabra.
  • Principio de criterio propio. El auditor NO debe dejarse influir por las opiniones o instrucciones de otros, debe de actuar según su propia opinion.
  • Principio de discrecion.  Debe de ser reservado tanto en hechos y palabras, no hablar de más.
  • Principio de economia. No debe inducir a gastos innecesarios.
  • Principio de capacitacion continua. Esta obligado a seguirse preparando dentro de su rubro.
  • Principio de fortalecimiento y respeto a u profesion. Debe de cuidar el valor de sus trabajos y conclusiones.
  • Principio de Independencia. Debe de ser autonomo, autosuficiente y no depender de otros para realizar su tarea.
  • Principio de informacion suficiente. El auditor debe de brindar informacion suficiente, clara y precisa en sus resltados.
  • Principio de Integridad Moral. El auditor debe de ser integro y evitar participar en actos de corrupcion personal y a terceros.

Pruebas de Viabilidad

Cuando realizamos este tipo de pruebas se trata de demostrar lo siguiente

  • Cada uno de los procedimientos que se estan utilizando estan completos y de acuerdo a lo establecido.
  • Cada uno de los recursos, material y equipo que son necesarios se encuentran disponibles para cuando estos se vayan a utilizar.
  • Cada uno de los documentos, copias de respaldo y diversos procesos que se desarrollan dentro de la organizacion son los que estan más acordes a lo que se necesita, además de que estos estan lo más recientes y actuales.
  • Cada uno de los empleados se encuentra preparado y capacitado de acuerdo al puesto que ocupa.

Además de esto, tambien se busca

  • Especificar y documentar cada una de las pruebas que se realicen y se tengan contempladas.
  • Determinar como se deben de conducir para efectuar determinada prueba.
  • Llevar a cabo cada una de las pruebas planeadas y documentarlas.
  • En base a los resultados obtenidos actualizar el plan de contingencia, de acuerdo a los procedimientos y calendarios de mantenimiento, asi como el desarrolol de nuevos procedimientos y listas de distribucion.

Plan de contingencia.

Dentro de cualquier organización debe o debiera existir un plan de contingencia, para saber que es lo que se debe y como se debe de realizar determinado proceso de solución en caso de que se presente x situación natural dentro de la organizacion, este debe ser para los desastres naturales como incendios, terremotos entre otras cosas y debe de estar corroborado y aceptado por las personas de proteccion civil o su representante. Pero ¿Que debe de tener dicho plan o como debe desarrollarse? basicamente como documentación debe tener:

  • Objetivo o proposito del plan. No se debe hacer nada más por que si, pues todo lo que se realiza debe de especificar por que causas se esta realizanndo.
  • Modo de ejecución. Se debe tambien especificar cada uno de los pasos a realizar ante dicha situación.
  • Tiempo de duración. ¿Cuanto tiempo va tomar realizar dicho proceso? mientras más rapido se realice puede haber muchos errores, se debe de tomar cierto tiempo pero al mismo tiempo tampoco demasiado.
  • Costos estimados. No es lo mismo lo que le cuesta a una empresa que lo que le cuesta a otra, es por eso que se deben definir estandares.
  • Recursos necesarios. Que se requiere para realizar el trabajo, no se puede realizar un trabajo sin el equipo necesario, es por ello que no se debe de olvidar nada, pues todo se tiene que tener a la mano.
  • Evento a partir del cual se pondra en marcha. Que tiene que pasar para que se realice dicho plan.
  • Personas encargadas de realizar el plan y sus responsabilidades. ¿Quien lo va a realizar y que funciones va a desempeñar? En este sentido el plan es una cosa y la auditoria es otra.
  • Validación del plan de contingencia. Como se dijo al principio alguien debe de valuar y aprobar dicho plan, pues no es nada más por que si, es entonces que se debe especificar quien valuo el plan, y este debe ser proteccion civil o sus responsables.

Evaluación del riesgo

En la mayoria de las ocasiones al tratar de realizar una auditoria nos vamos a encontrar con diversos factores o circunstancias que debemos considerar y al mismo tiempo medir, para saber que tanto podrian afectar el desempeño de la organización, y es en este sentido que se tiene que evaluar cada uno de los riesgos posibles y entre estos pudieramos encontrar:

  • El nivel de criticidad de las aplicaciones utilizadas. Es decir que tan critico es el uso de estas para el desempeño de la organización.
  • ¿Que tecnologia en hardware y software se esta utilizando?. Es en este punto donde si se quiere un mejor desempeño en la organización se tiene que tener lo más modernos y actual.
  • ¿Son  estas tecnologias originales? tanto el software como el hardware pirata podrian dañar el desempeño de la organización, además de traer problemas legales.
  • Sector entidad, es necesario realizar analisis de cada una de las areas independientes para tener una mayor perspectiva de esa area.
  • Momento. determinar el nivel de cada una de las diferentes cualidades del objeto analizado.
  • Amenazas. ¿Que pesa más para la organización la amenaza en si, o los problemas que esta pudiera ocasionar? en ocasiones el peso de las consecuencias es mucho mayor al de la misma amenaza.
  • ¿Que situación se tiene y debe de resolverse primero?Hay que establecer prioridades para cada uno de los problemas que se presenten.
  • ¿Que tan rentable es esa solución? conviene a la empresa darle solucion al problema, en este sentido se deben ver el  costo-beneficio de la solución planteada.
  • y finalmente ¿Que es mejor realizar con el riesgo?¿ Ignorarlo, eliminarlo, asumirlo, disminuirlo trasferirlo o existe una mejor solución?

La auditoria de la seguridad de la informacion

Seguridad de equipos e informacion


Existen diversos controles referentes al tema de la auditoria de la seguridad de la informacion, entre los cuales podemos encontrar los siguientes

  • Controles directivos.
  • Controles preventivos.
  • Controles de deteccion.
  • Controles correctivos.
  • Controles de recuperacion.

Objetivos de control.

Son las declaraciones acerca del resultado final esperado o proposito a ser alcanzado mediante las protecciones y los procedimientos de control que han sido determinados por la organizacion, es entonces que a partir de todo esto es generado el control interno.

Pero entonces, en cuanto a este sentido ¿Cuales son las areas que puede cubrir la auditoria de la seguridad? Bueno, las areas que son cubiertas por la auditoria son las siguientes

  • Controles directivos. Estos son el fundamento de la seguridad.
  • Medidas de desarrollo. Las que se toman para el crecimiento de la organizacion.
  • Verificacion de ajustes a la legalidad. Se encarga de cuidar que la organizacion trabaje de acuerdo a la ley. y segùn las normas establecidas.
  • Amenazas fisicas externas. Determinar si la organizacion esta preparada para prevenir situaciones de la naturaleza que puedan causar daños.
  • Control de acceso adecuado. Se tiene cuidado de quien tiene acceso a determinadas areas.
  • Proteccion de datos. Se conservan y cuidan los datos.
  • Comunicacion y redes. Estructura y diseño de la red y como es la comunicacion.
  • Area de produccion.
  • Desarrollo de aplicaciones en un entorno seguro.
  • La continuidad de las operaciones.

« Older entries