COMPONENTES DE LA SEGURIDAD FISICA
La seguridad de los sistemas de información envuelve la protección de la información así como la de los sistemas computacionales usados para grabar, procesar y almacenar la información. También esta involucrada en esta sección la seguridad equipamiento adicional necesario y las personas designadas al manejo de la información.
1.- el edificio: se refiere a realizar una auditoría interna para verificar las funciones jerárquicas, la rotación del personal y para darnos cuenta de las auditorías que se hayan o no realizado en la organización.
2.- Administración de la seguridad: en este punto se verifica que haya un encargado capacitado para cada uno de los departamentos y así brindar la debida seguridad a cada uno de ellos.
3.- Centro de proceso de datos e instalaciones: en este punto se verifica que tengan las instalaciones debidas como lo son: el recibidor principal, sala de operadores, instalaciones eléctricas, almacenes, etc.
4.- Equipos y comunicaciones: en este punto se verifica que existan los equipos de cómputo, dispositivos periféricos así como los dispositivos de necesarios de comunicaciones.
5.- Seguridad física del personal: en este punto se verifica que la organización cuente con la seguridad de su personal en las instalaciones, como son: entradas y salidas seguras, ruta de evacuación en caso de incendios, etc.
COMPONENTES DE LA SEGURIDAD AMBIENTAL
En este nos habla de los componentes que pueden influir en que algo no salga bien o que ocasione problemas en un centro de informatica.
Factores que componen un ambiente. En el lugar de trabajo, estos incluyen el ruido, la calidad del aire, la vibración de la maquinaria, la altura de la estación de trabajo y los materiales con los que tiene contacto el empleado.
Todos estos factores influyen mucho en el ambiente de trabajo del empleado, se sabe de antemano que si el empleado tiene su área de trabajo en condiciones óptimas este desarrollará mucho mejor sus labores.
martes, 27 de abril de 2010
Documentacion de amenazas.
AMENAZAS INTERNAS , EXTERNAS Y HUMANAS
EXTERNAS
Tormentas.
Incendios accidentales.
Inundaciones.
Condiciones climatológicas.
Robo por parte del personal distinto en el que se trabaja o por otras personas.
INTERNAS
Mal manejo de los equipos.
Exceso de humedad.
Hackers.
Robo del equipo informático por parte del personal de la organización o del lugar de trabajo.
Extracción de información confidencial de los miembros de la organización (incluyendo empleados).
HUMANAS
Disturbios.
Sabotajes.
Hackers.
Fraude.
Creación de cualquier tipo de virus.
AMENAZA INTERNA
La extrusión o amenaza interna es el robo de información crítica del negocio por empleados o personal interno dentro del contexto de confianza de la empresa. Hasta no hace poco, la mayoría de las empresas estaban enfocadas en intrusiones o amenazas externas, que generalmente ignoran la amenazas internas. Las amenazas internas conforman el 80% de las pérdidas económicas en América. Sin embargo, existen cada vez más casos en las noticias sobre peligros de fuga de información confidencial de corporaciones e instituciones gubernamentales, quienes finalmente están comenzando a darse cuenta que esto es altamente riesgoso y crítico para la continuidad de la organización
AMENAZA EXTERNA
Se entiende como amenaza externa todo aquello que no tiene nada que ver con los equipos de cómputo, por ejemplo lluvia, tierra o todo aquel fenómeno natural, incendios o el robo de equipo por parte de personas ajenas al centro de cómputo.
AMENAZA HUMANAS
Las amenazas a la seguridad de la información atentan contra su confidencialidad, integridad y disponibilidad. Existen amenazas relacionadas con falla humanas, con ataques malintencionados o con catástrofes naturales. Mediante la materialización de una amenaza podría ocurrir el acceso modificación o eliminación de información no autorizada; la interrupción de un servicio o el procesamiento de un sistema; daños físicos o robo del equipamiento y medios de almacenamiento de información.
EXTERNAS
Tormentas.
Incendios accidentales.
Inundaciones.
Condiciones climatológicas.
Robo por parte del personal distinto en el que se trabaja o por otras personas.
INTERNAS
Mal manejo de los equipos.
Exceso de humedad.
Hackers.
Robo del equipo informático por parte del personal de la organización o del lugar de trabajo.
Extracción de información confidencial de los miembros de la organización (incluyendo empleados).
HUMANAS
Disturbios.
Sabotajes.
Hackers.
Fraude.
Creación de cualquier tipo de virus.
AMENAZA INTERNA
La extrusión o amenaza interna es el robo de información crítica del negocio por empleados o personal interno dentro del contexto de confianza de la empresa. Hasta no hace poco, la mayoría de las empresas estaban enfocadas en intrusiones o amenazas externas, que generalmente ignoran la amenazas internas. Las amenazas internas conforman el 80% de las pérdidas económicas en América. Sin embargo, existen cada vez más casos en las noticias sobre peligros de fuga de información confidencial de corporaciones e instituciones gubernamentales, quienes finalmente están comenzando a darse cuenta que esto es altamente riesgoso y crítico para la continuidad de la organización
AMENAZA EXTERNA
Se entiende como amenaza externa todo aquello que no tiene nada que ver con los equipos de cómputo, por ejemplo lluvia, tierra o todo aquel fenómeno natural, incendios o el robo de equipo por parte de personas ajenas al centro de cómputo.
AMENAZA HUMANAS
Las amenazas a la seguridad de la información atentan contra su confidencialidad, integridad y disponibilidad. Existen amenazas relacionadas con falla humanas, con ataques malintencionados o con catástrofes naturales. Mediante la materialización de una amenaza podría ocurrir el acceso modificación o eliminación de información no autorizada; la interrupción de un servicio o el procesamiento de un sistema; daños físicos o robo del equipamiento y medios de almacenamiento de información.
APUNTES DE SEGURIDAD.............
AQUI ESTAN LOS APUNTES DE AUDITORIA POR SI LES SIRVEN
DE ALGO...
La seguridad física
· Garantiza la integridad de los activos humanos, lógicos y material de un CPD.
· No están claros los límites, dominios y responsabilidades de los tres tipos de seguridad que a los usuarios les interesa: seguridad lógica, seguridad física y seguridad de las comunicaciones.
· Se deben tener medidas para atender los riesgos de fallos, local o general.
Medidas
· Antes
- Obtener y mantener un nivel adecuado de seguridad física sobre los activos.
· Durante
- Ejecutar un plan de contingencia adecuado.
· Después
- Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el fallo.
Antes
· El nivel adecuado de seguridad física o grado de seguridad es un conjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias.
· Es un concepto general, no sólo informático, en las que las personas hagan uso particular o profesional de los entornos físicos.
-Ubicación del edificio
-Ubicación del CPD
-Compartimentación
-Elementos de construccion
-Potencia electrica
-Sistemas contra incendios
-Control de accesos
-Seleccion del personal
-Seguridad de los medios
-Medidas de proteccion
-Duplicacion de los medios
Durante
Un desastre es cualquier evento que puede ocurrir y que tiene como capacidad la de interrumpir el proceso normal de una empresa tanto laboral como económicamente .
Se debe afrontar con los medios necesarios:
Plan para recuperación de desastres en este quedan definidos.
Junto con el cent ro alternativo de proceso de datos, ambos forman el plan de contingencia.
El plan de contingencia sin excusa debe tener lo siguiente:
1.- Realizar un análisis de riesgos de los sistemas críticos.
2.- Establecer un periodo crítico de recuperación.
3.- Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso.
4.- Establecer prioridades de procesos por días del año de las aplicaciones y orden de los procesos.
5.- Establecer objetivos de recuperación que determinen el periodo de tiempo entre la declaración del desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas.
6.- Designar entre los distintos tipos existentes un centro alternativo de proceso de datos.
7.- Asegurar la capacidad de las comunicaciones.
8.- Asegurar los servicios de back-up
DESPUES
De la gama de seguros pueden darse:
1. Centro de proceso y equipamiento.
2. Reconstrucción de medios de software.
3. Gastos extra.
4. Interrupción del negocio.
5. Documentos y registros valiosos.
6. Errores y omisiones.
7. Cobertura de fidelidad.
8. Transporte de medios.
9. Contratos con proveedores y de mantenimiento.
1.-Areas de seguridad fisica.
El edificio:
Debe encargarse a peritos especializados.
Las áreas que debe checar el auditor de manera directa son:
· Organigrama de la empresa.
· Auditoria interna.
En donde el primero se deberá de verificar las dependencias orgánicas funcionales y jerárquicas.
· Separación de funciones y rotación del personal.
Da la primera y mas amplia visión del centro de procesos. En el caso de la auditoria interna se coloca especial atención en el personal, en los planes de auditoria, historia o historial de auditorias físicas.
2.-Administración de la seguridad:
Debe de existir las siguientes jerarquías:
Director o responsable de la seguridad integral.
Responsable de la seguridad informática.
Administradores de redes.
Administradores de base de datos.
Responsables de la seguridad activa y pasiva del entorno físico.
Normas, procedimientos y planes existentes.
3.-Centro de proceso de datos e instalaciones:
Entorno en donde se encuentre el centro de proceso de datos.
La sala de host.
La sala de operadores.
La sala de impresoras.
Cámaras.
Las oficinas.
Almacenes.
Instalaciones eléctricas.
Aire acondicionado.
4.-Equipos y comunicaciones:
Entiéndase por equipos y comunicaciones las terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de comunicaciones, y equipos de hosting.
5.-Seguridad física del personal:
Accesos seguros. Se debe de proporcionar una ruta de acceso que brinde la seguridad necesaria al personal de la empresa, que se encuentren laborando para la empresa.
Salidas seguras
Medios y rutas de evacuacion, extincion de incendios, sistemas de bloqueos de puertas y ventanas.
Normas y politicas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal.
Fuentes de auditoria fìsica
Debieran estar accesibles:
· Politicas, normas y planes de seguridad
· Auditorias anteriores, generales o parciales
· Contratos de seguros de prooveedores y de mantenimiento
· Actas e informes de tecnicos y consultores
· Informes de acceso y visitas
· Informes sobre pruebas de evacuacion
· Politicas del personal
· Inventarios de sopòrtes (cintoteca, backup, procedimientos de archivos, controles de salida, recuperacion de soporte, control de copias, etc).
Tecnicas y herramientas del auditor
-Tecnicas
· Observacion de las instalaciones, sistemas, cumplimiento de normas y procedimientos. Etc, (tanto del espectador como del actor).
· Revision analitica de:
*Documentacion sobre construccion y preinstalacion
*Documentacion sobre seguridad fisica
*Politicas y normas de actividad de sala
*Normas y procedimientos sobre seguridad fisica de los datos
*Contratos de seguros y de mantenimiento
· Entrevistas con directivos y personal fijo o temporal (no es interrogatorio)
· Consultas de tecnicos y peritos que formen parte de la plantilla o independiente
· Herramientas :
*Cuaderno de campo / grabadora de audio
*Camara fotografica / camara de video
*Su uso debe ser discreto y con autorizacion
Fases de la auditoria fisica
Considerando la metodologia de ISACA (Information Systems Audit and Control Association).
Fase 1.- alcance de la auditoria
Fase 2.- adquisicion de informacion general
Fase 3.- administracion y planificacion
Fase 4.- plan de auditoria
Fase 5.- resultados de las pruebas
Fase 6.- conclusiones y comentarios
Fase 7.- borrador del informe
Fase 8.- discusion con los responsables de area
Fase 9.- infomre final
*Informe- anexo al informe- carpeta de evidencias
Fase 10.- seguimiento de las modificaciones acordadas
SEGURIDAD LOGICA.
Control de red.
· La empresa debe contar con controles que protejan la informacion dispuesta en las redes de in formacion y los ser vicios interconectados, evitando asi accesos no autorizados.
· Debe existir un adecuado de segregacion funcional que regule las actividades ejecutadas por los administradores de redes, operaciones y seguridad.
· Deben existir sistermas de seguridad logica de eventos que permiten monitoreo de incidentes de seguridad en redes.
Control de datos.
· La empresa debe contar con controles que protejan la informacion dispuesta en las bases de datos de las aplicaciones evitando asi accesos no autorizados.
· Debe existir un adecuado nivel de segregacion de funciones que regulen las actividades ejecutadas por los administradores de datos.
· Se debe mantener un Log de actividades que registre las actividades de los administradores de datos.
· Los usuarios deben acceder a la informacion contenida en las bases de datos, unicamente atraves de aplicaciones que cuentan con mecacismos de control que aseguran el acceso a la informacion autorizada (clave de acceso a la aplicación).
Encriptacion
· El nivel de proteccion de informacion debe de estar basado en un analisis de riesgos .
· Este analisis debe permitir identificar cuando es necesario encriptar la informacion, el tipo, calidad del algoritmo de encriptacion y el largo de las claves criptograficas, que deberan ser usadas.
· Toda informacion queda clasificada como restringida y confidencial, debe ser almacenada, procesada y transmitida en forma encriptada.
· Todas las claves criptograficas deben de estar protegidas contra modificacion, perdida y destruccion
Administracion de claves
· Las claves deben de estar protegidas contra accesos y modificaciones no autorizadas, perdidas y destrucciones.
· El equipamiento utilizadopara generar y almacenar las claves debe de estar fisicamente protegido.
· La proteccion de las claves debe impedir su visualizacion, a un si se vulnera el acceso al medio que la contiene.
Uso de passwords
las passwords o claves de usuario son un elemento importante de seguridad, por lo tanto, todo empleado o tercera parte debe utilizar una clave segura para el acceso a los sistemas de la organización. Esta clave segura tiene lacondicion de personal e intransferible.
Se le considera debil a una clave o no segura cuando:
1. La clave contiene menos de 8 caracteres.
2. La clave es encontrada en un diccionario.
3. La clave es una palabra de uso comun, tal como puede se: npmbre de un familiar, mascota, colega etc.
4. La clave es fecha de cumpleaños u otra informacion personalcomo direcciones y numeros telefonicos.
Se considera una clave segura cuando:
1. La clave contiene mas de 8 caracteres.
2. La clave contiene caracteres en mayusculas y minusculas.
3. La clave tiene digitos de puntuacion, letras y numeros intercalados.
4. La clave no obedece a una palabra o lenguaje, dialecto o jerga.
5. Facil de recordar.
INTERCAMBIO DE INFORMACION.
Prevenir la perdida, modificacion o acceso no autorizado y el mal uso de la informacion que la empresa intercambia como sus procesos de negocio se permite:
Acuerdos de intercambio: En todos los casos de intercambio de informacion sensible se deben de tomar tosos los resguardos que eviten su revelacion no autorizada. Todo intercambio debe de estr autorizado expresamente por el dueño de esta.
Seguridad de los medios removibles: El dueño de la informacion es quien autoriza a traves de un medio removible desde la organización. Los dispositivos que permiten a alos computadores manejar medios removibles, deben ser habilitados cuando haya una razon de negocio para hacerlo y previa autorizacion del dueño de la informacion.
Seguridad en el comercio electronico: La informacion involucrada en el comercio electronico y que pasa por redes publicas, debe de estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas.
Seguridad en el correo electronico: El correo electronico es provisto por la empresa, a los empleados y terceras partes para facilitar el desempeño de sus funciones . la asignacion de esta herramienta de trabajo de hacerse considerando una evaluacion del riesgo. El correo es personalizado, es decir no es aceptable la utilizacion del correo de otra persona, por tanto se asume responsable del envio al remitente y no quien lo firma.
DE ALGO...
La seguridad física
· Garantiza la integridad de los activos humanos, lógicos y material de un CPD.
· No están claros los límites, dominios y responsabilidades de los tres tipos de seguridad que a los usuarios les interesa: seguridad lógica, seguridad física y seguridad de las comunicaciones.
· Se deben tener medidas para atender los riesgos de fallos, local o general.
Medidas
· Antes
- Obtener y mantener un nivel adecuado de seguridad física sobre los activos.
· Durante
- Ejecutar un plan de contingencia adecuado.
· Después
- Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el fallo.
Antes
· El nivel adecuado de seguridad física o grado de seguridad es un conjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias.
· Es un concepto general, no sólo informático, en las que las personas hagan uso particular o profesional de los entornos físicos.
-Ubicación del edificio
-Ubicación del CPD
-Compartimentación
-Elementos de construccion
-Potencia electrica
-Sistemas contra incendios
-Control de accesos
-Seleccion del personal
-Seguridad de los medios
-Medidas de proteccion
-Duplicacion de los medios
Durante
Un desastre es cualquier evento que puede ocurrir y que tiene como capacidad la de interrumpir el proceso normal de una empresa tanto laboral como económicamente .
Se debe afrontar con los medios necesarios:
Plan para recuperación de desastres en este quedan definidos.
Junto con el cent ro alternativo de proceso de datos, ambos forman el plan de contingencia.
El plan de contingencia sin excusa debe tener lo siguiente:
1.- Realizar un análisis de riesgos de los sistemas críticos.
2.- Establecer un periodo crítico de recuperación.
3.- Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso.
4.- Establecer prioridades de procesos por días del año de las aplicaciones y orden de los procesos.
5.- Establecer objetivos de recuperación que determinen el periodo de tiempo entre la declaración del desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas.
6.- Designar entre los distintos tipos existentes un centro alternativo de proceso de datos.
7.- Asegurar la capacidad de las comunicaciones.
8.- Asegurar los servicios de back-up
DESPUES
De la gama de seguros pueden darse:
1. Centro de proceso y equipamiento.
2. Reconstrucción de medios de software.
3. Gastos extra.
4. Interrupción del negocio.
5. Documentos y registros valiosos.
6. Errores y omisiones.
7. Cobertura de fidelidad.
8. Transporte de medios.
9. Contratos con proveedores y de mantenimiento.
1.-Areas de seguridad fisica.
El edificio:
Debe encargarse a peritos especializados.
Las áreas que debe checar el auditor de manera directa son:
· Organigrama de la empresa.
· Auditoria interna.
En donde el primero se deberá de verificar las dependencias orgánicas funcionales y jerárquicas.
· Separación de funciones y rotación del personal.
Da la primera y mas amplia visión del centro de procesos. En el caso de la auditoria interna se coloca especial atención en el personal, en los planes de auditoria, historia o historial de auditorias físicas.
2.-Administración de la seguridad:
Debe de existir las siguientes jerarquías:
Director o responsable de la seguridad integral.
Responsable de la seguridad informática.
Administradores de redes.
Administradores de base de datos.
Responsables de la seguridad activa y pasiva del entorno físico.
Normas, procedimientos y planes existentes.
3.-Centro de proceso de datos e instalaciones:
Entorno en donde se encuentre el centro de proceso de datos.
La sala de host.
La sala de operadores.
La sala de impresoras.
Cámaras.
Las oficinas.
Almacenes.
Instalaciones eléctricas.
Aire acondicionado.
4.-Equipos y comunicaciones:
Entiéndase por equipos y comunicaciones las terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de comunicaciones, y equipos de hosting.
5.-Seguridad física del personal:
Accesos seguros. Se debe de proporcionar una ruta de acceso que brinde la seguridad necesaria al personal de la empresa, que se encuentren laborando para la empresa.
Salidas seguras
Medios y rutas de evacuacion, extincion de incendios, sistemas de bloqueos de puertas y ventanas.
Normas y politicas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal.
Fuentes de auditoria fìsica
Debieran estar accesibles:
· Politicas, normas y planes de seguridad
· Auditorias anteriores, generales o parciales
· Contratos de seguros de prooveedores y de mantenimiento
· Actas e informes de tecnicos y consultores
· Informes de acceso y visitas
· Informes sobre pruebas de evacuacion
· Politicas del personal
· Inventarios de sopòrtes (cintoteca, backup, procedimientos de archivos, controles de salida, recuperacion de soporte, control de copias, etc).
Tecnicas y herramientas del auditor
-Tecnicas
· Observacion de las instalaciones, sistemas, cumplimiento de normas y procedimientos. Etc, (tanto del espectador como del actor).
· Revision analitica de:
*Documentacion sobre construccion y preinstalacion
*Documentacion sobre seguridad fisica
*Politicas y normas de actividad de sala
*Normas y procedimientos sobre seguridad fisica de los datos
*Contratos de seguros y de mantenimiento
· Entrevistas con directivos y personal fijo o temporal (no es interrogatorio)
· Consultas de tecnicos y peritos que formen parte de la plantilla o independiente
· Herramientas :
*Cuaderno de campo / grabadora de audio
*Camara fotografica / camara de video
*Su uso debe ser discreto y con autorizacion
Fases de la auditoria fisica
Considerando la metodologia de ISACA (Information Systems Audit and Control Association).
Fase 1.- alcance de la auditoria
Fase 2.- adquisicion de informacion general
Fase 3.- administracion y planificacion
Fase 4.- plan de auditoria
Fase 5.- resultados de las pruebas
Fase 6.- conclusiones y comentarios
Fase 7.- borrador del informe
Fase 8.- discusion con los responsables de area
Fase 9.- infomre final
*Informe- anexo al informe- carpeta de evidencias
Fase 10.- seguimiento de las modificaciones acordadas
SEGURIDAD LOGICA.
Control de red.
· La empresa debe contar con controles que protejan la informacion dispuesta en las redes de in formacion y los ser vicios interconectados, evitando asi accesos no autorizados.
· Debe existir un adecuado de segregacion funcional que regule las actividades ejecutadas por los administradores de redes, operaciones y seguridad.
· Deben existir sistermas de seguridad logica de eventos que permiten monitoreo de incidentes de seguridad en redes.
Control de datos.
· La empresa debe contar con controles que protejan la informacion dispuesta en las bases de datos de las aplicaciones evitando asi accesos no autorizados.
· Debe existir un adecuado nivel de segregacion de funciones que regulen las actividades ejecutadas por los administradores de datos.
· Se debe mantener un Log de actividades que registre las actividades de los administradores de datos.
· Los usuarios deben acceder a la informacion contenida en las bases de datos, unicamente atraves de aplicaciones que cuentan con mecacismos de control que aseguran el acceso a la informacion autorizada (clave de acceso a la aplicación).
Encriptacion
· El nivel de proteccion de informacion debe de estar basado en un analisis de riesgos .
· Este analisis debe permitir identificar cuando es necesario encriptar la informacion, el tipo, calidad del algoritmo de encriptacion y el largo de las claves criptograficas, que deberan ser usadas.
· Toda informacion queda clasificada como restringida y confidencial, debe ser almacenada, procesada y transmitida en forma encriptada.
· Todas las claves criptograficas deben de estar protegidas contra modificacion, perdida y destruccion
Administracion de claves
· Las claves deben de estar protegidas contra accesos y modificaciones no autorizadas, perdidas y destrucciones.
· El equipamiento utilizadopara generar y almacenar las claves debe de estar fisicamente protegido.
· La proteccion de las claves debe impedir su visualizacion, a un si se vulnera el acceso al medio que la contiene.
Uso de passwords
las passwords o claves de usuario son un elemento importante de seguridad, por lo tanto, todo empleado o tercera parte debe utilizar una clave segura para el acceso a los sistemas de la organización. Esta clave segura tiene lacondicion de personal e intransferible.
Se le considera debil a una clave o no segura cuando:
1. La clave contiene menos de 8 caracteres.
2. La clave es encontrada en un diccionario.
3. La clave es una palabra de uso comun, tal como puede se: npmbre de un familiar, mascota, colega etc.
4. La clave es fecha de cumpleaños u otra informacion personalcomo direcciones y numeros telefonicos.
Se considera una clave segura cuando:
1. La clave contiene mas de 8 caracteres.
2. La clave contiene caracteres en mayusculas y minusculas.
3. La clave tiene digitos de puntuacion, letras y numeros intercalados.
4. La clave no obedece a una palabra o lenguaje, dialecto o jerga.
5. Facil de recordar.
INTERCAMBIO DE INFORMACION.
Prevenir la perdida, modificacion o acceso no autorizado y el mal uso de la informacion que la empresa intercambia como sus procesos de negocio se permite:
Acuerdos de intercambio: En todos los casos de intercambio de informacion sensible se deben de tomar tosos los resguardos que eviten su revelacion no autorizada. Todo intercambio debe de estr autorizado expresamente por el dueño de esta.
Seguridad de los medios removibles: El dueño de la informacion es quien autoriza a traves de un medio removible desde la organización. Los dispositivos que permiten a alos computadores manejar medios removibles, deben ser habilitados cuando haya una razon de negocio para hacerlo y previa autorizacion del dueño de la informacion.
Seguridad en el comercio electronico: La informacion involucrada en el comercio electronico y que pasa por redes publicas, debe de estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas.
Seguridad en el correo electronico: El correo electronico es provisto por la empresa, a los empleados y terceras partes para facilitar el desempeño de sus funciones . la asignacion de esta herramienta de trabajo de hacerse considerando una evaluacion del riesgo. El correo es personalizado, es decir no es aceptable la utilizacion del correo de otra persona, por tanto se asume responsable del envio al remitente y no quien lo firma.
domingo, 21 de marzo de 2010
Capitulo 2.
Dar click para ver el capitulo 2 de la auditoria..
Me habia equivocado y lo habia puesto en el blog de auditoria
disculpenme......
Me habia equivocado y lo habia puesto en el blog de auditoria
disculpenme......
lunes, 1 de marzo de 2010
domingo, 28 de febrero de 2010
NOTA:
Si no se puede abrir el link la informacion esta abajo ok lo
puse porke tenia problemas con el internet......
puse porke tenia problemas con el internet......
Reporte de la auditoria primera parte...........
AUDITORIA INFORMATICA.
Tema:
“AUDITORIA AL C.B.T.A No. 101”
Nombres:
MIRIAM CECILIA MORENO LUJAN
ANTONIO ORDAZ LOPEZ
JUAN ANTONIO GARCIA GARCIA
Semestre: VIII
ING. RICARDO BUSTAMANTE.
28/Febrero/2010
AUDITORIA INFORMATICA
1.
1.1. ORIGEN DE LA AUDITORIA:
La presente auditoria se realiza para cumplir con las expectativas de la materia con el mismo nombre del ITSL sin ningún fin de lucro solo para satisfacer o cumplir con la práctica requerida para este tipo de situaciones a futuro.
1.2. OBJETIVOS Y ALCANCE
1.2.1. OBJETIVO GENERAL
Realizar la revisión de los sistemas y procedimientos de informática del Centro de Bachillerato Tecnológico Agropecuario No. 101; sus equipos de computo, el uso que se les da a los mismos, la seguridad con la que cuentan la eficiencia de los mismos al igual que como realizan el procesamiento de datos importantes para esta institución con el fin de que se tomen decisiones correctas con respecto al funcionamiento de los equipos con los que cuentan.
1.2.2. OBJETIVOS ESPECIFICOS
Revisar y evaluar el desempeño de los equipos de cómputo.
Verificar si cuentan con las licencias necesarias.
Evaluar el diseño y prueba de los sistemas del centro de cómputo.
Determinar la veracidad de la información del centro de cómputo.
Verificar el tipo de cableado que utilizan.
Revisar que topología de red utilizan.
Evaluar la forma como se administran los dispositivos de almacenamiento básico del centro de cómputo.
Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
1.3. ANTECEDENTES
El Centro de Bachillerato Tecnológico Agropecuario No. 101 del ejido seis de Octubre Dgo. Fue fundado en la ciudad de Bermejillo Durango y no tenia instalaciones para laborar este usaba las instalaciones de la Escuela Secundaria Técnica No. 15 Francisco Javier Mina ubicada en esta localidad hay laboro durante un tiempo pero después fue trasladado al ejido seis de octubre debido a que un grupo de ejidatarios de este ejido dono unas tierras para que se construyera esta institución fue así como el C.B.T.a No. 101 se estableció en este ejido.
Actualmente la escuela cuenta con diversas aulas para brindar un excelente servicio a la comunidad estudiantil que en ocasiones desde la Ciudad de Gómez Palacio acuden a ella y cuenta con una área tecnológica que la hace ser una institución de nivel media superior como cualquier otra en su ramo.
1.4. ENFOQUE A UTILIZAR
La presente auditoria o acción de control, se realiza de acuerdo a las normas ISO 27000 con respecto a la seguridad informática y otros estándares del mismo organismo para evaluar y supervisar los métodos y procedimientos utilizados para llevar un buen control del centro de computo aplicando estos estándares a la auditoria porque se consideran necesarios de acuerdo a las circunstancias de la institución.
La auditoria se realiza en el Centro de Bachillerato Tecnológico Agropecuario No. 101, ubicado en el Ejido 6 de octubre municipio de Gómez Palacio, Durango siendo examinada el área de cómputo de esta institución educativa.
1.5. RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A
EXAMINAR.
DIRECTORA DE LA INSTITUCIÓN.
Lic. Indra Araceli Rueda Puente.
ENCARGADO DEL CENTRO DE CÓMPUTO.
Lic. Aristeo Orozco Ripalda.
ENCARGADO DE REDES.
Ing. Cuauhtémoc Luna García.
MANTENIMIENTO DEL EQUIPO DE CÓMPUTO.
Ing. Roberto Carrillo Medrano.
1.6. CRONOGRAMA DE TRABAJO PROGRAMA DE AUDITORIA
INSTITUCION: Centro de Bachillerato Tecnológico Agropecuario No.101.
• Elaboración de la entrevista.
• Elaboración de la encuesta.
• Recopilación de la información.
• Evaluación de los resultados de la encuesta.
9 Hrs.
• Entrevista con la Directora del C.B.T.a No.101.
• Aplicación de la encuesta a los encargados.
• Aplicación de la encuesta a los usuarios del centro de computo.
• Análisis de las claves de acceso.
• Análisis del Control de seguridad, confiabilidad y respaldos.
• Evaluación de los Recursos Humanos que laboran en el centro de cómputo.
• Evaluación del Hardware y Software.
• Evaluación del diseño lógico y del desarrollo del sistema.
• Evaluación del Proceso de Datos y de los Equipos de Cómputos: seguridad de los datos, control de operación, seguridad física y procedimientos de respaldo.
40 Hrs.
REVISION Y PRE-INFORME
• Revisión de las encuestas realizadas.
• Evaluación de las respuestas
• Determinación del Diagnostico.
• Elaboración de graficas y tablas.
• Elaboración del Borrador.
18 Hrs.
INFORME
• Elaboración y presentación del Informe.
6 Hrs.
DIAGRAMA DE GANTT
1.7. DOCUMENTOS A SOLICITAR
• Estándares con los que cumple la institución.
• Procedimientos de la institución.
• Plan del centro de cómputo.
• Planes de seguridad del centro de cómputo.
• Licencias de los software manejados.
• Organigrama del centro de cómputo.
• Funciones del centro de cómputo.
• Manuales de sistemas.
• Entrevistas
• Archivos
• Requerimientos de los Usuarios (alumnos).
1.8. EJECUCION DE LA REVISION ESTRATEGICA
1.8.1. CONOCIMIENTO INICIAL DE LA ENTIDAD
El Centro de Bachillerato Tecnológico Agropecuario No. 101 del ejido seis de octubre anteriormente estaba ubicado en la ciudad de Bermejillo, Dgo. En las instalaciones de la secundaria técnica No. 15 de esta misma localidad y el cual fue trasladado a este ejido debido a que los ejidatarios donaron unas tierras para que se construyera esta institución.
Y en la actualidad ha crecido mucho esta institución ya que cuenta con la tecnología necesaria para preparar a los alumnos a entrar a un nivel más alto de educación como lo es la educación superior.
1.8.2. AUTORIDADES DEL EJIDO SEIS DE OCTUBRE , DGO.
COMISARIADO EJIDAL.
Manuel Alfonso García Mata.
SECRETARIO EJIDAL.
Mario Moreno Lujan.
TESORERO EJIDAL.
Bernardo Torres Puentes.
DIRECTORA DEL C.B.T.A NO. 101.
Lic. Indra Araceli Rueda Puente.
1.8.3. PRINCIPALES ACTIVIDADES:
• Analizar presupuestos para la institución.
• Aprobar su presupuesto
• Aprobar sus Bienes y Rentas para la institución.
• Apoyar en eventos de la institución.
• Organizar, Reglamentar y Administrar sus servicios públicos locales.
• Contratar con otras entidades públicas y no públicas, preferentemente locales, la atención de los servicios que no administraron directamente.
• Promover y organizar la participación de los vecinos en el desarrollo de la comunidad.
1.8.4. FUNCIONES GENERALES
• Planear y llevar a la práctica actividades para ayuda de los habitantes de este ejido y elevar la demanda de los alumnos.
• Se desarrollan planes para atraer la atención de los jóvenes y entren a esta institución.
• Desarrollar la convivencia entre el alumnado y la gente del ejido para ayudar en lo que sea necesario.
1.9. ORGANIGRAMA
1.10 SISTEMAS Y CONTROLES IDENTIFICADOS
a) Control de Actividades y Operaciones.
-El C.B.T.a No. 101 ha establecido en su centro de cómputo un conjunto de reglas que deben de cumplirse para la utilización de los equipos de cómputo.
-Al igual que el centro de cómputo tiene las sanciones que se establecen en caso de no cumplir con estas reglas.
b) Controles de Confiabilidad y Validez de la Información.
-Las funciones y responsabilidades de los encargados de este centro de cómputo tienen también un reglamento que deben de cumplir y presentar informes con la información fiable y correcta a la persona que esta al frente de la institución.
1.11. OFICINA DE PLANEACION Y PRESUPUESTO
1.11.1. AREA DE CÓMPUTO E INFORMATICA
MISION
El centro de Computo e informática del C.B.T.a No. 101, tiene por misión realizar el adecuado uso y aprovechamiento de los recursos informáticos; la optimización de las actividades, servicios procesos y acceso inmediato a información para la toma de decisiones, mediante el desarrollo, implantación y supervisión del correcto funcionamiento de los sistemas informáticos y comunicaciones, así como la adquisición y control del equipo físico de computo.
VISION:
El centro de cómputo e informática, del Centro de Bachillerato tecnológico Agropecuario No. 101, es capaz de liderar el desarrollo informático, asegurando una excelente educación para los alumnos que están en esta institución educativa.
1.11.2. SITUACION ACTUAL
Ubicación:
El centro de cómputo e informática depende de la oficina de planificación y presupuesto, asumiendo la responsabilidad llevar un buen control de los procesos técnicos de la informática.
Recursos Humanos:
En el centro de cómputo laboran tres personas uno que se encarga de las redes que conectan los equipos de computo otra persona que esta encargada del cuidado de los equipos y por ultimo una persona que se encarga de darle el mantenimiento requerido a los equipos de computo para dar un excelente servicio a los estudiantes.
Recursos informáticos existentes:
Servidores.
Computadoras Personales.
Impresoras.
Escáner.
1.11.3. OBJETIVOS:
El centro de Cómputo e informática tiene los siguientes objetivos:
• Apoyar a los alumnos a realizar trabajos con calidad.
• Brindar un mejor servicio a los usuarios, a través de una pagina
• Web.
• Realizar tramites como inscripciones vía internet.
OBJETIVOS ESPECIFICOS:
• Equipamiento del centro de cómputo.
• Digitalización de boletas de calificaciones.
• Brindar un mejor acceso a Internet
• Diseño y elaboración de páginas Web.
• Alojamiento y Mantenimiento de la Pagina Web.
• Brindar servicios por internet.
1.11.4. ANALISIS FODA
Fortalezas
• Muy buen prestigio.
• Disponibilidad de recursos económicos.
• Excelentes recursos humanos.
• Capacidad de Convocatoria (Difusión)
• Excelente ubicación.
Oportunidades
• Buen servicio y trato a la comunidad estudiantil
• Busca reducir los costos a través de la tecnología.
• Tecnología para ofrecer un excelente aprendizaje
• Disposición del personal para actualizaciones y adaptarse a ellas.
Debilidades
• Falta de equipos de cómputo.
• Falta del cumplimento de las reglas.
• Poco conocimiento de la institución.
• No existen programas de capacitación y actualización al personal.
• La oficina del Área de cómputo e informática muy reducida.
Amenazas
• Actualización de los equipos y no haya presupuesto.
• Virus informáticos que dañen el equipo.
• Falta de conocimiento de algún avance tecnológico.
Tema:
“AUDITORIA AL C.B.T.A No. 101”
Nombres:
MIRIAM CECILIA MORENO LUJAN
ANTONIO ORDAZ LOPEZ
JUAN ANTONIO GARCIA GARCIA
Semestre: VIII
ING. RICARDO BUSTAMANTE.
28/Febrero/2010
AUDITORIA INFORMATICA
1.
1.1. ORIGEN DE LA AUDITORIA:
La presente auditoria se realiza para cumplir con las expectativas de la materia con el mismo nombre del ITSL sin ningún fin de lucro solo para satisfacer o cumplir con la práctica requerida para este tipo de situaciones a futuro.
1.2. OBJETIVOS Y ALCANCE
1.2.1. OBJETIVO GENERAL
Realizar la revisión de los sistemas y procedimientos de informática del Centro de Bachillerato Tecnológico Agropecuario No. 101; sus equipos de computo, el uso que se les da a los mismos, la seguridad con la que cuentan la eficiencia de los mismos al igual que como realizan el procesamiento de datos importantes para esta institución con el fin de que se tomen decisiones correctas con respecto al funcionamiento de los equipos con los que cuentan.
1.2.2. OBJETIVOS ESPECIFICOS
Revisar y evaluar el desempeño de los equipos de cómputo.
Verificar si cuentan con las licencias necesarias.
Evaluar el diseño y prueba de los sistemas del centro de cómputo.
Determinar la veracidad de la información del centro de cómputo.
Verificar el tipo de cableado que utilizan.
Revisar que topología de red utilizan.
Evaluar la forma como se administran los dispositivos de almacenamiento básico del centro de cómputo.
Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
1.3. ANTECEDENTES
El Centro de Bachillerato Tecnológico Agropecuario No. 101 del ejido seis de Octubre Dgo. Fue fundado en la ciudad de Bermejillo Durango y no tenia instalaciones para laborar este usaba las instalaciones de la Escuela Secundaria Técnica No. 15 Francisco Javier Mina ubicada en esta localidad hay laboro durante un tiempo pero después fue trasladado al ejido seis de octubre debido a que un grupo de ejidatarios de este ejido dono unas tierras para que se construyera esta institución fue así como el C.B.T.a No. 101 se estableció en este ejido.
Actualmente la escuela cuenta con diversas aulas para brindar un excelente servicio a la comunidad estudiantil que en ocasiones desde la Ciudad de Gómez Palacio acuden a ella y cuenta con una área tecnológica que la hace ser una institución de nivel media superior como cualquier otra en su ramo.
1.4. ENFOQUE A UTILIZAR
La presente auditoria o acción de control, se realiza de acuerdo a las normas ISO 27000 con respecto a la seguridad informática y otros estándares del mismo organismo para evaluar y supervisar los métodos y procedimientos utilizados para llevar un buen control del centro de computo aplicando estos estándares a la auditoria porque se consideran necesarios de acuerdo a las circunstancias de la institución.
La auditoria se realiza en el Centro de Bachillerato Tecnológico Agropecuario No. 101, ubicado en el Ejido 6 de octubre municipio de Gómez Palacio, Durango siendo examinada el área de cómputo de esta institución educativa.
1.5. RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A
EXAMINAR.
DIRECTORA DE LA INSTITUCIÓN.
Lic. Indra Araceli Rueda Puente.
ENCARGADO DEL CENTRO DE CÓMPUTO.
Lic. Aristeo Orozco Ripalda.
ENCARGADO DE REDES.
Ing. Cuauhtémoc Luna García.
MANTENIMIENTO DEL EQUIPO DE CÓMPUTO.
Ing. Roberto Carrillo Medrano.
1.6. CRONOGRAMA DE TRABAJO PROGRAMA DE AUDITORIA
INSTITUCION: Centro de Bachillerato Tecnológico Agropecuario No.101.
• Elaboración de la entrevista.
• Elaboración de la encuesta.
• Recopilación de la información.
• Evaluación de los resultados de la encuesta.
9 Hrs.
• Entrevista con la Directora del C.B.T.a No.101.
• Aplicación de la encuesta a los encargados.
• Aplicación de la encuesta a los usuarios del centro de computo.
• Análisis de las claves de acceso.
• Análisis del Control de seguridad, confiabilidad y respaldos.
• Evaluación de los Recursos Humanos que laboran en el centro de cómputo.
• Evaluación del Hardware y Software.
• Evaluación del diseño lógico y del desarrollo del sistema.
• Evaluación del Proceso de Datos y de los Equipos de Cómputos: seguridad de los datos, control de operación, seguridad física y procedimientos de respaldo.
40 Hrs.
REVISION Y PRE-INFORME
• Revisión de las encuestas realizadas.
• Evaluación de las respuestas
• Determinación del Diagnostico.
• Elaboración de graficas y tablas.
• Elaboración del Borrador.
18 Hrs.
INFORME
• Elaboración y presentación del Informe.
6 Hrs.
DIAGRAMA DE GANTT
1.7. DOCUMENTOS A SOLICITAR
• Estándares con los que cumple la institución.
• Procedimientos de la institución.
• Plan del centro de cómputo.
• Planes de seguridad del centro de cómputo.
• Licencias de los software manejados.
• Organigrama del centro de cómputo.
• Funciones del centro de cómputo.
• Manuales de sistemas.
• Entrevistas
• Archivos
• Requerimientos de los Usuarios (alumnos).
1.8. EJECUCION DE LA REVISION ESTRATEGICA
1.8.1. CONOCIMIENTO INICIAL DE LA ENTIDAD
El Centro de Bachillerato Tecnológico Agropecuario No. 101 del ejido seis de octubre anteriormente estaba ubicado en la ciudad de Bermejillo, Dgo. En las instalaciones de la secundaria técnica No. 15 de esta misma localidad y el cual fue trasladado a este ejido debido a que los ejidatarios donaron unas tierras para que se construyera esta institución.
Y en la actualidad ha crecido mucho esta institución ya que cuenta con la tecnología necesaria para preparar a los alumnos a entrar a un nivel más alto de educación como lo es la educación superior.
1.8.2. AUTORIDADES DEL EJIDO SEIS DE OCTUBRE , DGO.
COMISARIADO EJIDAL.
Manuel Alfonso García Mata.
SECRETARIO EJIDAL.
Mario Moreno Lujan.
TESORERO EJIDAL.
Bernardo Torres Puentes.
DIRECTORA DEL C.B.T.A NO. 101.
Lic. Indra Araceli Rueda Puente.
1.8.3. PRINCIPALES ACTIVIDADES:
• Analizar presupuestos para la institución.
• Aprobar su presupuesto
• Aprobar sus Bienes y Rentas para la institución.
• Apoyar en eventos de la institución.
• Organizar, Reglamentar y Administrar sus servicios públicos locales.
• Contratar con otras entidades públicas y no públicas, preferentemente locales, la atención de los servicios que no administraron directamente.
• Promover y organizar la participación de los vecinos en el desarrollo de la comunidad.
1.8.4. FUNCIONES GENERALES
• Planear y llevar a la práctica actividades para ayuda de los habitantes de este ejido y elevar la demanda de los alumnos.
• Se desarrollan planes para atraer la atención de los jóvenes y entren a esta institución.
• Desarrollar la convivencia entre el alumnado y la gente del ejido para ayudar en lo que sea necesario.
1.9. ORGANIGRAMA
1.10 SISTEMAS Y CONTROLES IDENTIFICADOS
a) Control de Actividades y Operaciones.
-El C.B.T.a No. 101 ha establecido en su centro de cómputo un conjunto de reglas que deben de cumplirse para la utilización de los equipos de cómputo.
-Al igual que el centro de cómputo tiene las sanciones que se establecen en caso de no cumplir con estas reglas.
b) Controles de Confiabilidad y Validez de la Información.
-Las funciones y responsabilidades de los encargados de este centro de cómputo tienen también un reglamento que deben de cumplir y presentar informes con la información fiable y correcta a la persona que esta al frente de la institución.
1.11. OFICINA DE PLANEACION Y PRESUPUESTO
1.11.1. AREA DE CÓMPUTO E INFORMATICA
MISION
El centro de Computo e informática del C.B.T.a No. 101, tiene por misión realizar el adecuado uso y aprovechamiento de los recursos informáticos; la optimización de las actividades, servicios procesos y acceso inmediato a información para la toma de decisiones, mediante el desarrollo, implantación y supervisión del correcto funcionamiento de los sistemas informáticos y comunicaciones, así como la adquisición y control del equipo físico de computo.
VISION:
El centro de cómputo e informática, del Centro de Bachillerato tecnológico Agropecuario No. 101, es capaz de liderar el desarrollo informático, asegurando una excelente educación para los alumnos que están en esta institución educativa.
1.11.2. SITUACION ACTUAL
Ubicación:
El centro de cómputo e informática depende de la oficina de planificación y presupuesto, asumiendo la responsabilidad llevar un buen control de los procesos técnicos de la informática.
Recursos Humanos:
En el centro de cómputo laboran tres personas uno que se encarga de las redes que conectan los equipos de computo otra persona que esta encargada del cuidado de los equipos y por ultimo una persona que se encarga de darle el mantenimiento requerido a los equipos de computo para dar un excelente servicio a los estudiantes.
Recursos informáticos existentes:
Servidores.
Computadoras Personales.
Impresoras.
Escáner.
1.11.3. OBJETIVOS:
El centro de Cómputo e informática tiene los siguientes objetivos:
• Apoyar a los alumnos a realizar trabajos con calidad.
• Brindar un mejor servicio a los usuarios, a través de una pagina
• Web.
• Realizar tramites como inscripciones vía internet.
OBJETIVOS ESPECIFICOS:
• Equipamiento del centro de cómputo.
• Digitalización de boletas de calificaciones.
• Brindar un mejor acceso a Internet
• Diseño y elaboración de páginas Web.
• Alojamiento y Mantenimiento de la Pagina Web.
• Brindar servicios por internet.
1.11.4. ANALISIS FODA
Fortalezas
• Muy buen prestigio.
• Disponibilidad de recursos económicos.
• Excelentes recursos humanos.
• Capacidad de Convocatoria (Difusión)
• Excelente ubicación.
Oportunidades
• Buen servicio y trato a la comunidad estudiantil
• Busca reducir los costos a través de la tecnología.
• Tecnología para ofrecer un excelente aprendizaje
• Disposición del personal para actualizaciones y adaptarse a ellas.
Debilidades
• Falta de equipos de cómputo.
• Falta del cumplimento de las reglas.
• Poco conocimiento de la institución.
• No existen programas de capacitación y actualización al personal.
• La oficina del Área de cómputo e informática muy reducida.
Amenazas
• Actualización de los equipos y no haya presupuesto.
• Virus informáticos que dañen el equipo.
• Falta de conocimiento de algún avance tecnológico.
jueves, 25 de febrero de 2010
TAREA..............
ENTREVISTA.
Buenos dias mi nombre es Juan Antonio Garcia Garcia soy alumno del ITSL estudio la carrera de Lic. en Informatica como parte de una de mis materias estoy aqui para que con su autorizacion realizar una auditoria correpondiente al area de redes de esta institucion de antemano le agradezco su atencion y su confianza.
1.- Nombre completo.
2.- Puesto que desempeña.
3.- ¿Con cuantas áreas de cómputo cuentan?
4.- ¿Cuántos servidores tienen?
5.- ¿Qué tipo de servidores utilizan? ¿Porque?
6.- ¿Cuál es el sistema operativo con el que cuentan los equipos de cómputo?
7.- ¿Cuentan con licencias actualizadas?
8.- ¿Qué topología de red utilizan?
9.- ¿Qué tipo de cableado utilizan? ¿Por qué?
10.- ¿Cuentan con alguna certificación?
11.- ¿Cree que es importante tener una?
12.- Por ultimo ¿Como califica en una escala del 1 al 10 el desempeño de su área de redes?
Buenos dias mi nombre es Juan Antonio Garcia Garcia soy alumno del ITSL estudio la carrera de Lic. en Informatica como parte de una de mis materias estoy aqui para que con su autorizacion realizar una auditoria correpondiente al area de redes de esta institucion de antemano le agradezco su atencion y su confianza.
1.- Nombre completo.
2.- Puesto que desempeña.
3.- ¿Con cuantas áreas de cómputo cuentan?
4.- ¿Cuántos servidores tienen?
5.- ¿Qué tipo de servidores utilizan? ¿Porque?
6.- ¿Cuál es el sistema operativo con el que cuentan los equipos de cómputo?
7.- ¿Cuentan con licencias actualizadas?
8.- ¿Qué topología de red utilizan?
9.- ¿Qué tipo de cableado utilizan? ¿Por qué?
10.- ¿Cuentan con alguna certificación?
11.- ¿Cree que es importante tener una?
12.- Por ultimo ¿Como califica en una escala del 1 al 10 el desempeño de su área de redes?
TAREA...............
ENCUESTA.
1.- ¿Como considera el funcionamiento del área de redes?
a)EXCELENTE
b)BUENO
c)REGULAR
d)MALO
2.- ¿Cómo considera el rendimiento de los equipos de cómputo?
a)EXCELENTE
b)BUENO
c)REGULAR
d)MALO
3.- La red proporciona un buen servicio o funcionamiento.
a)SI
a)SI
b)A VECES
c)NO
4.- La red ha tenido fallas últimamente.
a)SI
a)SI
b)ALGUNAS VECES
c)NO
5.- El equipo del área de redes funciona correctamente.
a)SI
a)SI
b)A VECES
c)NO
6.- El mantenimiento que se da en esta área es efectivo.
a)SI
a)SI
b)EN OCASIONES
c)NO
7.- Actualizan el equipo de computo constantemente en el área de redes.
a)SI
a)SI
b)A VECES
c)NO
8.- Realizan el mantenimiento requerido a los equipos de manera constante.
a)SI
a)SI
b)A VECES
c)NO
9.- Cuanto tiempo laboran con los equipos de cómputo.
a)MUCHO
a)MUCHO
b)REGULAR
c)POCO
10.- ¿Como califica el desempeño de su área de redes?
a)EXCELENTE
a)EXCELENTE
b)BUENO
c)REGULAR
d)MALO
domingo, 14 de febrero de 2010
PRINCIPIOS
Principio de comportamiento profesional
Entiendo que es que para que un auditor pueda realizar su función debe contar con los conocimientos técnicos y debe estar preparado para visualizar todos los errores que puedan presentarse al momento de realizar la auditoría además de que debe guardar un respeto por la política de la empresa que audita.
Principio de concentración en el trabajo
Opino que es que aunque un auditor tenga exceso de trabajo, eso no debe interferir en la auditoría que esté realizando actualmente, es decir, debe permanecer concentrado para no tomar decisiones erróneas. Además de que no debe copiar conclusiones de otros trabajos sólo porque tiene mucho trabajo ya que no todas las auditorías son iguales y las empresas merecen que se les den resultados óptimos para poder tomar las medidas necesarias.
Principio de confianza
Se refiere a que el auditor debe realizar su trabajo de forma transparente para que la persona encargada de la empresa confíe en que la auditoría que se está llevando a cabo en su empresa es fidedigna y asimismo coopere para la realización de la misma.
Principio de criterio propio
Cada auditor debe tener su propio criterio a la hora de realizar la auditoría y no permitir que nadie interfiera en sus puntos de vista o percepciones.
Principio de discreción
Se refiere a que el auditor debe tener una cierta discreción en la divulgación de datos, es decir, debe saber que es lo que puede decir y que no.
Principio de economía
Se refiere a que el auditor debe cooperar realizando de forma correcta la auditoría, ya que con esto propicia a que la empresa conserve su estado económico al evitar gastos innecesarios.
Principio de formación contínua
Se refiere a que el auditor esté en constante preparación o actualizado en cuanto a los métodos utilizados por ej.
Principio de fortalecimiento y respeto a la profesión
Se refiere a que los auditores deben realizar bien sus conclusiones para que por medio de ellas se conserve el respeto a su profesión, o en pocas palabras realizar bien su trabajo.
Principio de independencia.
Se refiere a que nadie lo debe ni puede ayudarlo al momento de realizar su auditoría debe tener total autonomía.
Principio de información suficiente
Se refiere que el auditor debe ser claro y preciso con la información de resultados que le brindará al auditado.
Principio de integridad moral
Se refiere a que el auditor debe ser honesto, leal y diligente en el desempeño de su misión.
Entiendo que es que para que un auditor pueda realizar su función debe contar con los conocimientos técnicos y debe estar preparado para visualizar todos los errores que puedan presentarse al momento de realizar la auditoría además de que debe guardar un respeto por la política de la empresa que audita.
Principio de concentración en el trabajo
Opino que es que aunque un auditor tenga exceso de trabajo, eso no debe interferir en la auditoría que esté realizando actualmente, es decir, debe permanecer concentrado para no tomar decisiones erróneas. Además de que no debe copiar conclusiones de otros trabajos sólo porque tiene mucho trabajo ya que no todas las auditorías son iguales y las empresas merecen que se les den resultados óptimos para poder tomar las medidas necesarias.
Principio de confianza
Se refiere a que el auditor debe realizar su trabajo de forma transparente para que la persona encargada de la empresa confíe en que la auditoría que se está llevando a cabo en su empresa es fidedigna y asimismo coopere para la realización de la misma.
Principio de criterio propio
Cada auditor debe tener su propio criterio a la hora de realizar la auditoría y no permitir que nadie interfiera en sus puntos de vista o percepciones.
Principio de discreción
Se refiere a que el auditor debe tener una cierta discreción en la divulgación de datos, es decir, debe saber que es lo que puede decir y que no.
Principio de economía
Se refiere a que el auditor debe cooperar realizando de forma correcta la auditoría, ya que con esto propicia a que la empresa conserve su estado económico al evitar gastos innecesarios.
Principio de formación contínua
Se refiere a que el auditor esté en constante preparación o actualizado en cuanto a los métodos utilizados por ej.
Principio de fortalecimiento y respeto a la profesión
Se refiere a que los auditores deben realizar bien sus conclusiones para que por medio de ellas se conserve el respeto a su profesión, o en pocas palabras realizar bien su trabajo.
Principio de independencia.
Se refiere a que nadie lo debe ni puede ayudarlo al momento de realizar su auditoría debe tener total autonomía.
Principio de información suficiente
Se refiere que el auditor debe ser claro y preciso con la información de resultados que le brindará al auditado.
Principio de integridad moral
Se refiere a que el auditor debe ser honesto, leal y diligente en el desempeño de su misión.
domingo, 7 de febrero de 2010
RIESGOS Y PLAN DE CONTINGENCIA
EVALUACION DEL RIESGO.
En este tema se vio lo que se debe analizar o las posibles situaciones de riesgo dentro de una organización que se puedan presentar en un futuro es decir se analizan situaciones que pueden traer problemas a la organización no en el momento sino que se piensa que pueda traer estos en un futuro.
CRITICIDAD DE LAS APLICACIONES.
En este tema lo que entendí fue que son métodos necesarios para cierta empresa en funcionamiento.
TECNOLOGIA USADA.
La tecnología es una de las cosas más importantes dentro de la empresa para cuando es el momento de realizar una auditoria ya que es mas sencillo realizarla con el uso de la tecnología.
MARCO LEGAL.
Este es que todo lo que hay en la empresa u organización debe ser legal y comprobable como por ejemplo el software que se utiliza debe tener las licencias correspondientes porque cuando hay una auditoria externa esto si no es legal puede traer muchos conflictos para la empresa.
SECTOR ENTIDAD.
Este sector es una sección o varias secciones de una empresa u organización la cual puede ser auditable o revisada a detalle para la detección de laguna anomalía.
MOMENTO.
El momento lo podemos definir o identificar con el tiempo en el que se tarda la auditoria en realizarse es decir el tiempo que le tome al auditor revisar tal sección auditada, es también el análisis de las cualidades en base a un porcentaje.
MENAZAS Y PESO.
Estos son los riesgos que se pueden presentar dentro de la organización y el peso en ocasiones puede ser mayor que la propia amenaza y no se tiene conocimiento de cuanto pueda dañar esta amenaza. En la realización de la auditoria existen diversas herramientas con las cuales se puede saber el peso que tienen determinadas amenazas, y se debe de revisar si lo que esta invertido en la seguridad de la empresa es rentable o no.
¿QUE HACER EN CASO DE RIESGO?
Lo que se debe hacer en caso de que haya un riesgo en la empresa es lo siguiente eliminarlo, disminuirlo, transferirlo y asumirlo.
PLAN DE CONTINGENCIA.
Para realizar un plan de contingencia se deben de saber los requisitos mínimos con los que una organización puede funcionar y lo que se hace es identificar las alternativas de solución a los posibles problemas o situaciones que se presenten y revisar la relación costo-beneficio de cada una de las posibles soluciones.
DOCUMENTACION.
Para llevar a cabo el plan de debe hacer lo siguiente:
Objetivo del plan.- En este paso se plante lo de que se busca hacer en este plan.
Modo de ejecución.- Este paso habla de que todo se hace en un orden definido o mejor dicho que se debe llevar una secuencia de lo que se realiza.
Tiempo de duración.- Se debe saber el tiempo en que se tardaran en la realización de la auditoria.
Costos estimados.- Se debe tener una idea de lo que se va a gastar o un plan de costos estándar para de ahí basarse y no haya perdidas.
Recursos necesarios.- Se debe llevar el material necesario para la auditoria ya que se utiliza material muy costoso y se debe tener mucho cuidado con el.
Evento a partir del cual se pondrá en marcha.- En base a algún evento se realiza la auditoria.
Personas encargadas de llevar a cabo el plan.- Son personas que deben estar capacitadas para la realización de su trabajo ya que la responsabilidad que recae en ellas es mucha y puede costar hasta la quiebra de la empresa.
VALIDACION DEL PLAN DE CONTINGENCIA.
Para la validación de este plan de sebe pasar por manos primero del jefe inmediato de la persona encargada después de haber pasado y revisado por el jefe los que le dan la validación por decirlo así son los de protección civil ellos dicen si esta bien planteado el plan de contingencia.
PRUEBAS DE VIABILIDAD.
En estas pruebas se pone en manifiesto que:
Los procedimientos estén completos.
Que los materiales y registros vitales están disponibles.
Que los backup documentación y trabajo en procesos son los adecuados y están actualizados.
Que el personal ha sido capacitado adecuadamente.
Se deben realizar todas estas pruebas para que la validación del plan sea mas factible o sencilla de conseguir.
DEFINIR Y DOCUMENTAR LAS PRUEBAS DEL PLAN.
Se deben de desarrollar planes para pruebas especificas y al momento de ejecutar las pruebas de deben de documentar.
Observador.
Formularios.
Sesiones informativas.
Logs de equipo.
Herramientas.
ACTUALIZAR EL PLAN DE CONTINGENCIA DE ACUERDO ALOS RESULTADOS OBTENIDOS EN LAS PRUEBAS.
En esta etapa por llamarla así se deben de establecer procedimientos y calendarios de mantenimiento además de desarrollar procedimientos y listas de distribución para así llevar un buen control del plan.
PRINCIPIOS DEONTOLOGICOS DEL AUDITOR INFORMATICO.
PRINCIPIO DE BEBNEFICIO DEL AUDITADO.
En este principio el auditor debe de conseguir la mayor rentabilidad y eficiencia de los medios informáticos de la empresa que se esta auditando. Y también este debe evitar tener algo que ver con algunos o determinados intereses de la empresa.
PRINCIPIO DE CALIDAD.
El auditor debe llevar a cabo su trabajo con los medios que estén a su alcance es decir con lo que el tenga tiene que hacer la auditoria ya que algunos materiales necesarios para la auditoria son muy costosos. Debe ser libre de utilizar lo que necesite de acuerdo a condiciones y técnicas adecuadas para su trabajo.
PRINCIPIO DE CAPACIDAD.
El auditor que este llevando a cabo su trabajo en una empresa debe estar capacitado para realizarlo y debe estar consciente de su aptitud y capacidad para desarrollar dicha auditoria.
PRINCIPIO DE CAUTELA.
El auditor debe evitar que el auditado se relacione en proyectos de futuro fundamentados en instituciones sobre la evolución de las nuevas tecnologías de la información.
lunes, 1 de febrero de 2010
LO VISTO EN LA SEMANA..........
AUDITORÍA INFORMÁTICA
En la semana vimos primero una definición de lo que es auditoria informática la cual se cita a continuación. La auditoria informática “Es el conjunto de técnicas, actividades y procedimientos destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio informático en la empresa por lo que comprende un examen metódico puntual y discontinuo del servicio informático con vistas a mejorar en la rentabilidad, seguridad y eficacia”. Esto lo debe llevar a cabo toda empresa que quiera sobresalir o que quiera tener un excelente rendimiento en sus ganancias.
SINTOMAS DE NECESIDAD DE UNA AUDITORÍA INFORMÁTICA
Las empresas acuden a una auditoría externa cuando consideran que hay anomalías que pueden poner en riesgo su empresa.
SINTOMAS DE DESCOORDINACIÓN DE DESORGANIZACIÓN
Estos son algunos síntomas que se presentan y debemos poner atención a ellos Cuando los objetivos de la informática de la empresa no coinciden, cuando la productividad baja por alguna razón, cuando reestructuran alguna área con personal nuevo ya que el que estaba no cumplía con las expectativas necesarias, todo esto debido a que siempre que hay algún cambio y la empresa tiene que estar preparada para dichos cambios.
SINTOMAS DE MALA IMAGEN E INSATISFACCION DE LOS USUARIOS
Otros de los síntomas que se presentan en las empresas son estos: Cuando algún usuario necesita cambiar algún dispositivo o aparato electrónico y la compañía no hace caso de su petición, cuando falla algún dispositivo o cualquier tipo de hardware y no se reemplaza en un lapso de tiempo determinado pude traer consecuencias de perdida a la empresa, situaciones como estas dañan la imagen de la empresa y hacen o forman una mala reputación de la empresa que se vera reflejada tanto en sus ganancias como en la auditoria que se lleve a cabo.
SINTOMAS DE DEBILIDADES ECONÓMICO – FINANCIERO
Al momento de realizar la auditoria se presentan el Incremento en los costos, necesidad e justificación de inversiones, desviaciones presupuestarias, costes y plazos de nuevos proyectos cosas que ni fueron necesarias y con esto se pueden identificar robos o desfalcos por parte de personal que labora en la empresa.
SINTOMAS DE INSEGURIDAD
EVALUACIÓN DE NIVEL DE RIESGOS
Este es uno de los síntomas mas importantes a mi forma de ver las cosas ya que es la Seguridad lógica, seguridad física, confidencialidad, continuidad del servicio, centro de datos de proceso fuera de control, y pues con este tipo de síntomas en la auditoria revela si el software que se esta utilizando es el correcto o cuenta con la seguridad necesaria para una empresa de dicho nivel ya que se maneja información de suma importancia y se tiene que proveer de una buena seguridad para que nadie pueda acceder a esta información e incluso robarla.
OBJETIVOS DE LA AUDITORÍA INFORMÁTICA
Los objetivos vistos son Verificar que los aspectos organizativos y administrativos de la función de proceso de datos se realicen adecuadamente, que los controles del ciclo de vida del sistema funcionen y no tengan ninguna anomalía, mantener los controles de acceso a las instalaciones, terminales, etc. Para llevar un mejor control de todo lo que pasa en dicha área, formar informática interna y hacer auditorias internas para que cuando se lleve a cabo una externa estar listos para no expresar información que sea falsa o equivocada por el personal en pocas palabras que exista la comunicación entre los trabajadores de la empresa.
SISTEMA INFORMÁTICO IDEAL
El sistema informático ideal debería de contar con las siguientes características.
Ser un departamento autónomo, optimizar recursos o disminuir costos, anticiparse a necesidades futuras o actualizarlo constantemente, operar mediante a estándares y procedimientos definidos no en base al criterio personal para así obtener excelentes resultados entre otras cosas.
¿CÓMO LLEVAMOS A CABO LA AUDITORÍA?
Para llevar a cabo la auditoria se necesita Definir alcance y objetivos, conocer y analizar los procedimientos estándar para operar correctamente en las instalaciones, evaluar controles internos para detectar anomalías, procedimientos y pruebas de auditoría para que los trabajadores de la empresa se acostumbren a dichas actividades, análisis de los hechos detectados para corregirlos en caso de ser necesario, formación de opinión sobre los controles y presentación de información y recomendaciones.
LA AUDITORÍA DE LA SEGURIDAD DE LA INFORMACIÓN
LA AUDITORIA SUGIRERE DIFERENTES CONTROLES
Controles directivos para si no se encuentran errores seguir así para llevar una excelente administración de la empresa, controles preventivos para prevenir alguna anomalía que se haya detectado, controles de detección para identificar problemas, controles correctivos para corregir los problemas encontrados y controles de recuperación para recuperar información perdida.
ÁREAS QUE PUEDE CUBRIR LA AUDITORÍA DE LA SEGURIDAD
En la clase se vio que las aéreas que se cubren con la auditoria de seguridad son las siguientes Controles directivos, los fundamentos de la seguridad, medida de desarrollo para la toma de decisiones, verificación de ajuste a la legalidad en cuanto a licencias no utilizar software que no es legal porque como se dice lo barato sale caro y nos puede traer consecuencias, amenazas físicas externas como lluvia, tolvaneras, algún robo, Control de acceso adecuado para mantener un control del personal que accede a cada una de las áreas de la empresa, Protección de datos para evitar robo de datos o pérdida de los mismos, Comunicaciones y redes para tener un mayor auge como empresa, Área de producción para llevar un control de las cantidades que se producen, Desarrollo de aplicaciones en un entorno seguro y la continuidad de las operaciones.
jueves, 28 de enero de 2010
Suscribirse a:
Entradas (Atom)