Seguridad Logica

Aqui un documento con la informacion sobre la Seguridad Logica

Fases de la auditoria Fisica

1. Alcance de la Auditoria
2. Adquisicion de informacion general
3. Administracion y planificacion
4. Plan de auditoria
5. Resultados de las pruebas
6. conclusiones y comentarios
7. Borrador de informe
8. Discusion con los responsables de Area
9. Informe Final
10. Seguimiento de las modificaciones acordadas

Fuentes de la Auditoria Fisica

Deberan estar accessible:

• Politicas Normas y planes de seguridad
• Auditorias Anteriores, generales o parciales
• contratos de seguros de prooveedores y de mantenimiento
• Actas e informes de técnicos y consultores
• Informes de acceso y visitas
• Informes sobre pruebas de evacuación
• Politicas del personal
• Inventarios de sopòrtes (cintoteca, backup, procedimientos de archivos, controles de salida, recuperacion de soporte, control de copias, etc).

Tecnicas y Herramientas del Auditor

• Documentacion sobre construccion y preinstalacion
• Documentacion sobre seguridad física
• Politicas y normas de actividad de sala
• Normas y procedimientos sobre seguridad fisica de los datos
• Contratos de seguros y de mantenimiento
• Entrevistas con directivos y personal fijo o temporal (no es interrogatorio)

Herramientas

Áreas de seguridad física

El edificio:

Las áreas que deben de checar el auditor de manera directa son:

• Organigrama de la empresa

En donde se daran cuenta de las areas que existen dentro de la empresa asi como de los encargados de cada area

• Auditoría interna

En donde los auditores tienen que analizar los resultados que se obtuvieron y despues analizar y comparar los resultados obtenidos por los auditores externos

Administración de la seguridad:

• Director o responsable de la seguridad integral
• Responsable de la seguridad informática
• Administradores de Redes
• Administradores de BD
• Responsables de la seguridad activa y pasiva del entorno físico
• Normas, Procedimientos y planes existentes

En este punto se checaran todo lo referente a la seguridad tanto de las Bases de Datos como de las redes asi como de las normas que se manejan dentro de ahy

Centro de Proceso de datos e instalaciones:

• Entorno en donde se encuentre en el entorno de datos
• La sala de host (área de descanso)
• La sala de Operadores
• La sala impresoras
• Cámaras
• Las oficinas
• Almacenes
• Instalaciones Eléctricas
• Aire Acondicionado

Aqui se verificaran las instalacions con las que se cuenta en que estado se encuentran etc.

Equipos y comunicaciones:

Entiéndase por equipo y comunicaciones las terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de comunicaciones, y equipos de hosting (huespedes).

Seguridad física del personal:

· Accesos seguros. Se debe de proporcionar una ruta de acceso que brinde la seguridad necesaria al personal de la empresa, que se encuentren laborando para la empresa

La Seguridad Fisica

Medidas....

Antes

Obtener y mantener un nivel adecuado de seguridad fisica sobre los activos

· Ubicación del edificio

· Ubicación del CPD

· Compartimentación

· Elementos de construcción

· Potencial eléctrica

· Sistema contra incendios

· Control de acceso

· Selección del personal

· Mediadas de protección

· Seguridad de los medios

Durante

Ejecutar un plan de contingencia adecuado

Desastre:

· Es cualquier evento, que puede ocurrir y que tiene como capacidad adeinterrumpir el proceso normal de una empresa, tanto laboral como económicamente.

· Se debe de contar con los medios para poderlo afrontar

· Los medios quedan definidos en el plan de recuperación de desastres, junto con el centro alternativo de proceso de datos, ambos forman el plan de contingencia

Plan de contingencia sin excusa debe de tener lo siguientes

· Realizar un análisis de riesgos de sistemas críticos

· Establecer un periodo crítico de recuperación

· Realizar un análisis de las aplicaciones criticas estableciendo prioridades de proceso

· Establecer prioridades de procesos por días del año de las aplicaciones y orden de los procesos

· Establecer objetivos de recuperación que determinen el periodo de tiempo entre la declaración del desastre y el momento en el que el centro alternativo puede procesar las aplicaciones criticas

· Designar entre los distintos tipos existentes un centro alternativo de proceso de datos

· Asegurar la capacidad de las aplicaciones

· Asegurar la capacidad de los servicios de Back-up.

Después

De la gama de seguros pueden darse:

· Centro de Proceso y equipamiento

· Reconstrucción de medios de software

· Gastos Extra

· Interrupción del negocio

· Documentos y registros Valiosos

· Errores y omisiones

· Cobertura de fidalidad

· Transporte de medios

· Contratos Con proveedores y de mantenimiento

Tipos de amenasas en la seguridad fisica

A continuacion se documentaran algunas de las amenazas que se presentan dentro de la seguridad fisica

Amenazas Humanas

*Robo

*Vandalismo

*Sabotaje

*Errores

*Espionaje

Amenazas Internas

*Fuego

*Falla Ambiental

*Perdida de liquidos

*Interrupcion Electrica

Amenazas Externas

*Viento/Huracanes/Tornados

*Inundacion

*Tormentas Electricas/Rayos

*Temblores

*Fuego

*Quimicos

Seguridad ambiental y seguridad fisica

SEGURIDAD FISICA
La seguridad fisica se puede definir en tres faces que Antes, Durante y Despues. donde la primer face que es el antes donde se tiene que definir principalmente el lugar en donde se creara el centro de computo asi mismo uan vez definido el lugar se tendra que tener considerado el como se contruira este y que comoponentes se le agregaran los cuales tendran que ser de muy buena calidad y que cumplan con las normas, tambien se tendra que instalar las instalaciones electrias, donde tambien se tendra que cumplir con normas especificas, un punto imprtante para un lugar en donde se tendra equipo muy importante se tiene que tener un sistema contra incendios el cual podra ser que funcione activando una alarma o que al activarse este arroge algun liquido especial para mitigar dicho incendio...
SEGURIDAD AMBIENTAL
A continuacion presentare algunas reglas que se deven de tomar muy encuenta para la seguridad ambiental las cuales a mi punto de vistase me hicieron de suma importancia para poder mantenr un centro de computo funcionando al 100%
Las Reglas basicas sobre la Seguridad Ambiental que debemos implementar entre otras son:

- Protecciones electricas, de agua y gas.
- Instalaciones de Aire Acondicionado y Sistemas de Refrigeracion y ventlicacion fluida.
- Proteccion ante Incendios y metodos eficaces de Evacuacion guiados.
- Sistemas de Deteccion en casos de accidentes ambientales, como fuego por ejemplo.
- Personal de Seguridad y Sistemas de Monitoreo.

Video de la Auditoria

Aqui les dejo el video de la Auditoria que se esta realizando a la Secundaria Santiago Lavin para verlo presiona aqui

Segundo avance de la Auditoria

Aquie las preguntas que se pretenden realizar en nuestra auditoria

Auditoria Fisica

Auditoria de la Ofimatica

Auditoria de Mantenimiento

Primer Avance de la Auditoria

Aqui el primer avance del la auditoria realizada al la secundaria Santiago Lavin Presion aqui para ver el documento

Actividades

Objetivos de la Auditoria Informatica
En la auditoria hay 6 objetivos principales los cuale se describen en la siguiente imagen para verla prisiona sobre ella




Herramientas y tecnicas para la auditoria informática
Existen varias tecnicas que los auditores utlizan para la realizacion de la auditoria las cuales se analizan en el sigiente documento.

Encuesta

1.-Con Cuantas Areas de Computo Cuenta la empresa
A) 1-3
B) 5
C) mas de 5

2.-Cuantas horas da Servicio
A) 4
B) 4-6
C) mas de 6

3.- A Cuantas Personas Brinda Servico esta area
A) 5-10 Personas
B) 10-20 Personas
C) 20 en adelante

4.-Con Que frecuencia hay cusrsos de capacitacion para los empleados de esta area
A) muy frecuente
B) escasas veces
C) Nunca

5.-Con Que Frecuencia Fallan los Equipos
A) muy frecuente
B) escasas veces
C) Nunca

Imagen Tomada de: http://www.crearempresas.com/proyectos09/domomuebles/domomuebles/areacomercial/estudiomercado.htm

Entrevista

¿Numero de Personas dentro del departamento?

¿Que tarea desempeña cada uno?

¿Con que tipo de Escolaridad o carrera cuantan?

¿Que Topologia utilizan en el area?

¿Cada cuanto tiempo se hace un respaldo de la informacion?

¿Que sistema operativo utilizan?

¿Cuantos y cuales servidores cuentan en el area?

¿Cada Caundo se da mantenimiento?

Imagen Tomada de: http://www.portalplanetasedna.com.ar/entrevistas.htm

Principios deontologicos del auditor informático

Principio de Beneficio del Auditor

este punto nos habla principalmente que aquella persona que auditara no puede tener ningún parentesco con los dueños o encargados de la empresa o área que se va a auditar según sea el caso, también nos dice que el auditor deberá sacar el mayor provecho a los medios que en el área estén.

Principio de calidad

este punto nos dice que el auditor deberá prestar un servicio de calidad con lo que hay este o con lo que el área cuente ademas de que no deberá de haber ninguna traba para utilizar las herramientas que hay estén ademas de que estén al 100% disponibles para la auditoria.

Principio de Capacidad

Aquí como su nombre lo indica el auditor debe de estar 100% consciente de lo que hace esto es que este preparado en esta área ya que no se va a poner a auditar un área de informática a una persona que no tiene conocimientos de informática ademas de que debe de estar consciente de su alcance ose que no debe de hacer mas de lo que se puede o de lo que este sabe.

Principio de cautela

El auditor deberá aconsejar al auditado en sus proyectos futuros para que este no se enganche o se embarque con proyectos que a la postre le causen un gasto mayor.

Principio de comportamiento

El auditor deberá de respetar las políticas de la empresa es decir no solo por que este no pertenezca directamente a la empresa tendrá que gozar de un trato especial es decir si en la empresa se tiene que ir con alguna ropa especial como lo son cascos o botas que no por ser del área de informática se omitirá esta política.

Principio de concentración en el trabajo

El Auditor deberá poner especial atención a la empresa donde este auditando es decir no solo por que este tenga que entregar un reporte en un tiempo determinado este lo olvide y lo deje para ultima hora ya que esto es motivo de distracción en otros asuntos a su vez por querer terminar rápidamente el reporte que se tiene que entregar hay que evita copiar informes ya antes redactados por mas de que estos tengan algo de similitud.

Principios de confianza

El Auditor les deberá expresar alguna idea de las conclusiones que este este generando a los auditados pero no deberá darles el 100% de los resultados antes de tiempo.

Principio de criterio propio

El auditor deberá crear su propio criterio en base a las pruebas realizadas es decir no dejarse llevar por comentarios que a este le hagan sino tener la cabeza fría y poner lo que es.

Principio de discreción

el brindarles un poco de información a los auditados no quiere decir que esta sera brindada tal y como se redactara en el informe sino que este deberá ser discreto.

Principio Económico

El auditor deberá cuidar la economía de la empresa es decir no solo por que esta sea una empresa muy importante se quiera cobrar mas de lo normal sino hay que mantener lo mismo que se ha cobrado para otras empresas y a si evita que esta genere gastos innecesarios.

Principio de formación continuada

este punto es muy importante ya que nos menciona que no solo por que ya se tenga su titulo y tenga mucha experiencia este dejara aun lado el estudio por el contrario este deberá seguir actualizándose ya sea asistiendo a cursos de nuevos temas de la TI o alguna otra opción que le de mas experiencia en este sentido.

Principio de Fortalecimiento y respeto a la profesión

este deberá de ser cuidadoso con sus trabajos esto nos dice que no deberá proporcionar información a otros auditores para que estos concluyan algún trabajo.

Principio de independencia

el auditor debera ser independiente es su trabajo es decir no permitir que se le imponga a una persona que lo este siguiendo dentro de la empresa que este auditando.

Principio de información suficiente

este punto obliga al auditor a presentar la información recavada en una forma ordenada ademas de clara y concisa.

Principio de integridad moral

el auditor deberá tener una figura integra y no verse involucrado en actos que pueda perjudicar esta figura es decir no debe ser participe de la corrupción y no dejarse impresionar por moches o mordidas.

Imagen tomada de: www.blogdetrabajo.com/trabajo/estres

Pruebas de Viabilidad

Ponen de manifiesto:

• Los Procedimientos están completos
• Que los materiales y registros vitales están disponibles
• Que los backup de software, documentación y trabajo en procesos son los adecuados
• Que el personal ha sido entrenado adecuadamente

Estas pruebas son de vital importancia para la validación del plan de contingencia ya que sin estas pruebas la validación del plan será más de conseguir.

Definir y documentar las pruebas del plan
Desarrollar planes para pruebas específicas
Ejecutar las pruebas y documentarlos

• Observador.
• Formularios.
• Sesiones informativas.
• Logs de equipo.
• Herramientas.

Actualizar el plan de contingencia de acuerdo a los resultados obtenidos en las pruebas

• Establecer procedimientos y calendarios de mantenimiento
• Desarrollar, procedimientos y listas de distribución

Una vez que ya está toda la planeación documentada es preciso realizar una actualización del plan de contingencia este se llevara a cabo según los resultados es así como lo menciona la última etapa aquí mencionada

Documentacion del Plan de contingencia

Dentro del Plan de contingencia se tienen que realizar una serie de documentaciones ya que el plan de contingencia no solo se va a aplicar por aplicar sino alcontrario se deve de planificar con la siguiente documentacion

• Objetivo del Plan
• Modo de ejecucion
• Tiempo de duracion
• Costes estimados
• Recursos necesarios
• Evento a partir del cual se pondra en marcha
• Personas encargadas de llevar el plan y sus responsabilidades

Esta Documentacion es muy importante ya que como se menciono en un principio no solo se va a aplicar, dentro de la documentacion que se requiere esta el objetivo del plan esta documentacion es muy importante ya que de aqui depende mucho el plen de contingencia ya que aqui se define que es lo que se realizara, tambien esta el como se realizara es decir el Modo de ejecucion los pasos a realizar durante el plan de contingencia ademas de el Tiempo de ejecucion que puede ser de unas horas dias o por que no hasta semanas, enseguida tenemos el coste estimado que es el gasto que se realizara durante el plan de contingencia, por consiguiente se tiene que documentar los que son los recursos o lo que se va a necesitar para solucionar la contingencia tambien teneos el Evento a partir del cual se pondra en marcha es decir apartir de que se hara el plan de contingencia, pero el plan de contingencia no se llevara acavo por cualquier persona sino que devera de haver una persona encargada del plan de contingencia ademas de que estos tendran una resposabilidad en una sola area.

Despues de que se a realizado la documentacion del plan de contingencia este tendra que pasar a una siguiente face que es la validacion de este mismo ya que no solo se documentara y ya sino se tendra que analizar la documentacion.

Plan de Contingencia

Aqui podemos ver los planes por los cuales se pueden cubrir las faltas surgidas dentro de la auditoria donde analizamos los siguentes puntos

• Definicion de los niveles minimos de srvicio
• Identificacion de las alternativas de solucion
• Evaluacion de la relacion Coste/Beneficio de cada alternativa

Evaluacion del riesgo

En la Auditoria Infirmatica existen algunos puntos a los que se recuren cuando se realiza la auditoria estos son:

• Tipo de informacion
• Criticidad de las aplicaciones
• Tecnologia usada
• Marco legal
• Sector entidad
• Momento

donde se evaluara el tipo de informacion que en el departamento se usa asi como las aplicaciones usadas, tambien se analiza las tecnologias ahy usadas, un punto muy importante es eñl marco legal ya que ahy se revisa si tanto el software como el hardware son de procedencia licita si esto es lo contrario la empresa puede meterce en un problema muy serio ya que puede que la empresa sea cerrada por este motivo, tambien se toma en cuenta el lugar o los lugares que en la empresa existen es decir las areas que esten divididas y que en estas se pueda auditar ya sea individialmente o globalmente, pero una auditoria no solo se tardara una o dos horas sino puede tardarce hasta dias enteros.

En la Auditoria se pueden tener dos resultados que son "Las amenazas" y "El Peso" pero esto que quiere decir, las amenazas son los resultados que de la auditoria se obtienen mientras que el peso es todo aquello que esto puede causar ya sea una simple multa o hasta el cierre de la empresa.

¿Pero que se puede hacer con el riesgo?

• ¿Eliminarlo?
• ¿Disminuirlo?
• ¿Tranferirlo?
• ¿Asumirlo?

Los sierto es que se puede realizar cualquiera de las opciones pero la mas recomendada desde mi punto de vista es eliminarlo ya que una vez eliminada este riesgo es poco probable que vuelva a o currir pero para poder eliminarlo primeramente se tiene que asumir, tambieneste riesgo se puede transferir a un area en la cual no cause tanto daño o de plano no cause ningun daño.

Auditoria Interna y Externa

Aqui una representacion y la definicion de la auditoria Interna y Externa segun mi percepcion

Auditoria Informatica

La Auditoria Informatica es la Tecnica o las actividades y procedimientos destinados a analizar, evaluar, verificar y recomendar asuntos relativos a la planificacion, control eficacia, seguridad y adecuacion del servicio informatico en la empresa por lo que comprende un examen metodico, puntual y discontinuo del servicio informatico, con vistas a mejorar en :

• Rentabilidad
• Seguridad
• Eficacia

es decir en una empresa no solo vasta con estar funcionando y produciendo sino que tambien se tienen que realizar analisis o examenes tanto sobre la produccion como en el desempeño de los empleados, pero ablando en cuestiones informaticas no es distinto tambien se tienen que realizar auditorias a los sistemas informaticos para asi llegar al correcto funcionamiento de la empresa.

Sintomas de Necesidad de auditoria Informatica

Por lo regular las empresas cuentan con auditores internos, pero por lo regular esta no puede ser de lo mas sertera ya que puede ser que el auditor tenga algun compadrasgo dentro de la zona a auditar y por eso pase por alto algunas de las fallas ahy detectadas por lo cual las empresas optan tambien por acudir a una empresa externa para realizar una auditoria y esto es mas funcional ya que al contratar personas que no pertenescan a la empresa las fallas pueden ser detectadas.

Sintomas de descoordinacion y desorganizacion

Estos sintomas surgen cuando los objetivos propuestos por la empresa no coinciden con los que resultan en el departamento informatico esto es sintoma de que no se estan cumpliendo al 100% asi como los estandares de productividad se desvian o no cumplen con los estandares de la empresa conseguidos en auditorias anteriores.

Síntomas de mala imagen e insatisfacción de los usuarios

Estos Sintomas se presentan cuando las averias surgidas en el hardware no se reparan a tiempo asi como las incidencias se pasan por altoy esto es perjudicial ya que si no se reparan a tiempo esto puede causar un gasto mayor para la empresa ademas de inecesario si esto se cumple antes.

Sintomas de debilidades economico-financiero

Cuando los costes de manutencion del area informatica son demasiado elevados es unnsintoma de debilidades economico-financiero, ademas del desvio de presupuesto hacia otras causa o a otro tipo de programas que no son necesarios .

Sintomas de inseguridad

Evaluacion de nivel de riesgos

• Seguridad logica
• Seguridad fisica
• Confidencialidad

estos tres sintomas son muy importantes ya que de esto depende la funcionalidad del area informatica ya que si no se tiene una seguridad logica es decir que los archivos que ahy se procesen y aya robo de estos algo no se esta haciendo bien en esta area por lo mismo deve de existir la confidencialidad, tambien lo que es la seguridad fisica es de suma importancia ya que si existen robos del hardware existente esta area no funcionara al 100% ya que los equipos no podran brindar su servicio.

Continuidad del servicio

es un concepto aun mas importante que la seguridad

Centro de proceso de datos fuera de control

si tal situacion llegara a percibirse seria practicamente inutil la auditoria.

Objetivos de la Auditoria

• Verificacion de los aspectos organizativos y administrativos de la funcion de proceso de datos
• Verificacion de los controles de acceso a instalaciones, terminales, librerias, etc.
• Mecanizacion de las actividades de auditoria interna
• Formacion informatica interna
• Colaborar con auditores externos

Estos puntos son los objetivos de una auditoria informatica interna en los cuales se verifican los aspectos de la organizacion en cuanto al proceso de datos como lomenciona el primer punto, tambien un objetivo e el checar el acceso a las instalaciones y atodos los datos importantes dentro del area informatica yq que no a cualquier persona se le puede permitir el acceso a eta informacion ya que ahy hay informacion de suma importnacia para el funcionamiento del area ademas como se menciona en el ultimo punto esta auditoria interna deve de colaborar con una externa si eso asi es necesario.

Sistema Informatico Ideal

• Departamento autonomo
• Optimiza los recursos
• Se anticipa a necesidades futuras
• opera mediante estandares y procedimientos predefinidos

Como llevamos a cabo la auditoria Plan de Auditoria

• Definicion del alcance y Objetivos
• Conocimiento y analisis de los procedimientos estandar
• Evaluacion de controles internos
• Procedimientos y pruebas de auditoria

Juegos de ensayos

Caso Basico

sistemas paralelo

Revision de Pistas de auditoria

Revision de Sistemas de seguridad

Comparacionde programas

etc

• Analisis de los hechos detectados
• formacion de opinione sobre los controles
• presentacion de informacion y recomendaciones

la auditoria informatica se lleva mediante los puntos anteriromente mencionados donde se puede destacar que se pueden llevar acavo pruebas de auditorias donde sin sanciones ni nada se pueden sacar las problematicas que existen en area para cuando se llege la auditoria verdadera estas fallas ya no se presenten una vez hecho esta prueba y al sacar algunas problematicas estas se pueden analizar para poder darles una buena solucion mediante un informe donde se puede presentar las recomendaciones para repararlas.

La Auditoria de la seguridad de informacion

Seguridad de equipos e informacion

La auditoria de la Seguridad de la informacion sugiere diferentes controles

• Controles directivos
• Controles preventivos
• Controles de Deteccion
• Controles correctivos
• Controles de recuperacio

Objetivo de Control

Declaraciones sobre el resultado final deseado o proposito a ser alcanzado mediante las protecciones y los procedimientos de control

Control interno

Areas que puede cubrir la auditoria de la seguridad

• Controles directivos => Los Fundamentos de Seguridad
• Medida de desarrollo
• Verificacion de ajustes a la legalidad
• Amenazas fisicas externas
• Control de Acceso adecuado
• Proteccion de datos
• Comunicacion y redes
• Area de produccion
• Desarrollo de aplicaciones en un entorno seguro
• La continuidad de las Operaciones

Estos puntos antes vistos son algunos de los que cubre la auditoria en cuanto a la seguridad de la informacion donde destacamos varios puntos dentro de los mas importantes estan las amenazas fisicas externas estas se deven de analizar muy bien ya que puede ocurrir un fenomeno meteorologico por poner un ejemplo el cual puede causar que se pierda equipo importante y por ende se puede perder informacion de suma importancia para la empresa ademas como ya lo hemos mencionado anteriormente en otros puntos el control de acceso al area deve de ser vigilado ampliamente ya que si se le permite la entrada a areas como la de servidores que es una zona muy importante dentro del area informatica y por lo mismo no se le puede permitir la entrada a cualquier persona que lo desee, pero para que la informacion no sea del dominio de todo publico esta deve de estar muy bien protejida para evitar el robo de la misma.

Bienvenida!!!!

Este Es El Blog Para La Materia de Auditoria Informatica

Bienvenidos!!!!