BIBLIOGRAFIA

http://www.codejobs.biz/es/blog/2013/02/25/que-es-una-auditoria-informatica http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf http://www.oocities.org/mx/acadentorno/aui1.pdf http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_informatica.pdf http://www.oocities.org/espanol/audiconsystem/auditori.htm www.unlar.com.ar/ingenieria/auditoria.../Auditoria%20_informatica.ppt‎ http://www.ciifen-int.org/index.php?option=com_content&view=category&layout=blog&id=84&Itemid=111&lang=es http://www.unisdr.org/2004/campaign/booklet-spa/page9-spa.pdf http://es.wikipedia.org http://www.alegsa.com. http://www.informatica-hoy.com.ar http://espanol.answers.yahoo.com http://ohem.wordpress.com http://blanca-pke20je.blogspot

MODELOS DE SEGURIDAD INFORMATICA

ITIL Desarrollada a finales de los 80s, ITIL se ha convertido en un estándar para la administración de servicios. En sus inicios en la Gran Bretaña permitió que se administrara de manera eficaz y eficiente los costos de los recursos; por que demostró ser útil a las organizaciones en todos los sectores. ITIL, Information Technology Infrastructure Library, es una colección de las mejores prácticas observadas en la industria de TI. Es un conjunto de libros en los cuales se encuentran documentados todos los procesos referentes a la provisión de servicios de tecnología de información hacia las organizaciones. ITIL por medio de procedimientos, roles, tareas, y responsabilidades que se pueden adaptar a cualquier organización de TI, genera una descripción detallada de mejores practicas, que permitirán tener mejor comunicación y administración en la organización de TI. Proporciona los elementos necesarios para determinar objetivos de mejora y metas que ayuden a la organización a madurar y crecer. COBIT COBIT ( Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez. COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez. Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información. ISM3 La publicación del ISM3 (Information Security Management Maturity Model) ofrece un nuevo enfoque de los sistemas de gestión de seguridad de la información (ISM). ISM3 nace de la observación del contraste existente entre el número de organizaciones certificadas ISO9000 (unas 350,000), y las certificadas BS7799-2:2002 (unos cientos en todo el mundo). ISM3 pretende cubrir la necesidad de un estándar simple y aplicable de calidad para sistemas de gestión de la seguridad de la información. ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta.

ESTÁNDARES INTERNACIONALES

BS17799 Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO (International Organization for Standardization) en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. Se orienta a preservar los siguientes principios de la seguridad informática: 1. Confidencialidad 2. Integridad 3. Disponibilidad BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información. ISO27000 Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. • ISO27001 Es la norma principal de la serie y contiene los requisitos del sistema. • ISO27002 Es una guia que describe los objetivos de control recomendables en cuanto a seguridad. ISO20000 Normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005. La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia. Ademas considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.

ALCANCES DE LA AUDITORIA

El alcance de la Auditoria expresa los limites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias, y las organizaciones a auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones del alcance de la Auditoria, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del informe final. Las personas que la realizan han de conocer con mayor exactitud posible los objetivos a los que su tarea debe llegar. Debe conocer los deseos y pretensiones del cliente de forma que las metas fijadas puedan ser cumplidas. EL alcance ha de definir con precisión el entorno y los limites en que va a desarrollar la Auditoria Informática, y se complementa con los objetivos de esta; habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. PLAN DE AUDITORIA  La planificación permite dimensionar el tamaño y las características del área dentro de la organización a auditar tomando en cuenta • Sistemas • Organización • Equipos las partes de una auditoria son las siguientes: 1. Análisis 2. Diseño 3. Programación 4. Prueba 5. Implantación 6. Seguimiento Lo que debemos tomar en cuenta en una auditoria informática son las cuestiones: • Físicas - Equipos - Infraestructura - Amenazas naturales…etc • Lógicas - Datos, amenazas, procesos, programas y usuarios • Planes de contingencia-desastres • Piratería/hackers • Ataques víricos entre otras....... Herramientas a utilizar 1. Entrevistas 2. Visitas a la organización 3. Estudio de documentación y antecedentes 4. Cuestionarios 5. Encuestas

FIREWALL

Un firewall es software o hardware que comprueba la información procedente de Internet o una red y, a continuación, deniega o permite el paso de ésta al equipo, en función de la configuración del firewall. De este modo, ayuda a impedir que los hackers y software malintencionados obtengan acceso al equipo. Firewall está integrado en Windows y se activa automáticamente. Cómo funciona un firewall??? Si ejecuta un programa, por ejemplo, de mensajería instantánea o un juego de red con varios jugadores, que tiene que recibir información desde Internet o de una red, el firewall le pregunta si desea bloquear o desbloquear (permitir) la conexión. Si elige desbloquearla, Firewall por ejemplo de Windows crea una excepción de modo que el firewall no se interponga cuando ese programa tenga que recibir información en el futuro. AUDITORIA DE TECNOLOGÍAS DE INFORMACIÓN CONCEPTO DE AUDITORIA La Auditoria en informática se refiere a la revisión práctica que se realiza sobre los recursos informáticos con que cuenta una entidad con el fin de emitir un informe o dictamen donde se exponen los puntos débiles que hayan detectado, así como recomendaciones. Su finalidad es el examen y análisis de los procedimientos administrativos y de los sistemas de control interno de la compañía auditada. El proceso implica recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informativos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoria, incluyendo el uso del software.

MANEJO DE BITÁCORAS

Una bitácora se utiliza para mantener el control sobre el uso de los equipos de computo un ejemplo de bitácora de seguridad es el que se muestra a continuación: Bitácora de seguridad de laboratorio de computo Sin embargo al momento de implementar el uso de estas es necesario tomar en cuenta algunos aspectos, por ejemplo: Equipos de computo • Apagarlos al desocuparlos. • No rayar las pantallas y las partes de la computadora. • No mojarlos. • No forzarlos cuando se traben. programas • Si un programa esta bloqueado no desbloquear • No utilizar el programa para cosas que no sean su funcionamiento. • Respetar el reglamento del programa Paginas web • No desbloquear las paginas • Hacer caso a las advertencias. mobiliario • No rallarlo • No pegar chicles • No maltrátarlo alumnos • No entrar con comida • Respetar el horario del laboratorio • Cuidar todo los componentes del laboratorio. MANEJO DE SOFTWARE El manejo de los software en el equipo es de importancia por su capacidad de proteger al equipo de cómputo de amenazas presentes, principalmente en la red u otros dispositivos. Por ejemplo si se conecta a Internet, permite que otras personas utilicen el equipo o comparte los archivos con otras personas, debe tomar las medidas necesarias para impedir que el equipo sufra daños. Por lo general este tipo de software se actualiza sin que el operador tenga que hacerlo por medio de una configuración, permiten así tener el equipo actualizado.

CONFIGURACIÓN LOCAL DE SEGURIDAD

CUENTAS DE USUARIO Se pueden crear diferentes cuentas de usuarios para cada persona que vaya a utilizar el equipo. Esto permite a cada usuario tener sus propias carpetas de documentos y configuraciones como el papel tapiz, el menú Inicio, el estilo visual y otras características. Puede crear y configurar cuentas de usuario con la herramienta Cuentas de usuario en el Panel de control. Para abrir la herramienta Cuentas de usuarios, abra el Panel de control desde el menú Inicio y, a continuación, haga doble clic en Cuentas de usuario. Para crear una cuenta de usuario nueva, siga estos pasos: • Haga clic en Crear una nueva cuenta en la lista desplegable Elija una tarea. • Escriba el nombre de la cuenta y, después, haga clic en Siguiente. • Seleccione el tipo de cuenta que desea y después haga clic en Crear cuenta. Para realizar cambios en una cuenta, siga estos pasos: • Haga clic en Cambiar una cuenta en la lista desplegable Elija una tarea • Haga clic en la cuenta que desea cambiar • Seleccione el elemento que desea cambiar Así podremos cambiar el nombre de la cuenta, la imagen utilizada para representarla, el tipo de cuenta, la contraseña, o incluso borrar la cuenta de usuario del equipo. Nota: no puede borrar la cuenta de un usuario que ha iniciado sesión en el equipo actualmente.