De la gama de seguros pueden darse:

Centro de proceso y equipamiento

Reconstrucción de medios de software

Gastos extra

Interrupción del negocio

Documentos y registros valiosos

Errores y omisiones

Cobertura de fidelidad

Trasporte de medios

Contratos de proveedores y mantenimiento

Áreas de seguridad física.

El edificio. Debe encargarse de peritos especializados.

Las áreas que debe de checar el auditor de manera directa son:

Organigrama de la empresa.

Auditoría interna

En donde el primero se deberá de verificar las dependencias orgánicas, funcionales y jerárquicas.

Se debe de tener especial atención a la Separación de funciones y rotación de personal.

Da la primera y más amplia visión del centro de proceso. En el caso de la auditoría interna se
coloca especial atención en el personal, en los planes de auditoría, historia o historial de auditorías
físicas.

Administración de la Seguridad.

Deben de existir las siguientes jerarquías:

Director o responsable de la seguridad integral

Responsable de la seguridad informática

Administradores de redes

Administradores de bases de datos

Responsables de la seguridad activa (guardias) y pasiva (cámaras) del entorno físico

Normas, procedimientos y planes existentes.

Centro de procesos de datos e instalaciones.

Entornos en donde se encuentre el centro de proceso de datos (checar lo que nos rodea para ver
que nos amenaza)

La sala de host (descanso)

La sala de operadores (áreas para trabajar)

La sala de impresoras

cpd

Cámaras

Las oficinas

Almacenes

Instalaciones eléctricas
Aire acondicionado

Equipos y comunicaciones.

Entiéndase como equipos y comunicaciones las terminales, computadores personales, equipos

masivos de almacenamiento de datos, impresoras, medios y sistemas de comunicaciones, y
equipos de hosting (huespedes).

DOCUMENTOS Y REGISTROS VALISOOS.

Errores y omisiones.

Cobertura de fidelidad.

Transporte de medios.

Contratos con proveedores y de mantenimiento.

Publicado en Clase 15 de abril | Deja un Comentario »

abril 14, 2010 por Alylu Gama Vazquez

Un desastre es cualquier evento que puede ocurrir y que tiene como capacidad la de interpretar el
proceso normal de una empresa tanto laboral como económicamente. Se debe de contar con los
medios para afrontarlo, los medios quedan definidos en el plan de recuperación de desastres
junto con el centro alternativo de procesos de datos, ambos forman el plan de contingencia.

PLAN DE CIONTINGENCIA:

Sin escusas este debe contener lo siguiente:

Registrar los análisis de riesgos de los sistemas críticos.

Establecer un periodo crítico de recuperación.

Realizar un análisis de las aplicaciones críticas estableciendo prioridades de procesos.

Establecer prioridades de procesos por días del año de las aplicaciones y orden de los procesos.

Establecer objetivos de recuperación que determinen el periodo de tiempo entre la declaración

del desastre y el momento en que el centro de _____ pueda procesar las aplicaciones críticas.

Designar entre los distintos tipos existentes un centro alternativo de proceso de datos.

Asegurar la capacidad de las comunicaciones.

Asegurar la capacidad de los servicios de backup.

Publicado en Plan de contingencia | Deja un Comentario »

abril 13, 2010 por Alylu Gama Vazquez

Seguridad física

Garantiza la integridad de los activos humanos, lógicos, y materiales de un CPD (centro de

cómputo a auditar).

No están claros los límites, dominios y responsabilidades de los 3 tipos de seguridad lógica, física y
de las comunicaciones.

Se deben de tener medidas para atender los registros de fallas, loca ó general.

MEDIDIAS

- Antes

Obtener y mantener un nivel adecuado de seguridad física de los activos (hacer un análisis de los
defectos que se tienen).
- Durante

Ejecutar un plan de contingencia adecuado.

- Después

Los contratos de seguros pueden compensar en mayor o menor medida las perdidas, gastos o
responsabilidades que se puedan derivar una vez detectado y corregido el fallo( ya paso, si paso se
debe de prevenir lo sucedido por medio de seguros).

ANTES

El nivel adecuado de software, o agregado de seguridad es un conjunto de acciones utilizadas para

evitar el fallo o aminorar las consecuencias.

Es un concepto general, no solo informático en las que las personas hagan uso particular o
profesional de los entornos físicos.

- Ubicación del edificio.

- Ubicación del centro de computo auditado.

- Compartimentación.

- Elementos de construcción.

- Potencia eléctrica.
- Sistema contra incendios.

- Control de accesos.

- Selección del personal.

- Seguridad de los medios.

- Medidas de protección.

- Duplicación de los medios.

Publicado en Seguridad Física | Deja un Comentario »

Entrada anterior

marzo 22, 2010 por Alylu Gama Vazquez

Hola a todos bienvenidos a mi wordpress, en este se publicara sobre la materia en curso que estoy
llevando la cual es ” AUDITORIA INFORMÁTICA”, espero y el material que suba sea de su utilidad.

Publicado en Auditoria Informática | 1 Comentario »

marzo 22, 2010 por Alylu Gama Vazquez

Avances
Enlace avance del proyecto:

http://docs.google.com/View?id=dcwjqhp4_0hgb2j3fh

Enlace video:

http://www.youtube.com/watch?v=2teQX5QarJk

Publicado en Avances | Deja un Comentario »

febrero 27, 2010 por Alylu Gama Vazquez

Objetivos De La Auditoria Informática.

Publicado en Objetivos De La Auditoria Informátca | Deja un Comentario »

febrero 27, 2010 por Alylu Gama Vazquez

Herramientas y Técnicas para la auditoria informática.

http://docs.google.com/View?id=dcwjqhp4_1gbbs5ncx

Publicado en Herramientas y Técnicas para la auditoria informática. | Deja un Comentario »

febrero 25, 2010 por Alylu Gama Vazquez

Entrevista

1.- ¿ Que topología utiliza en este departamento?

2.- ¿De que marca son los dispositivos que utiliza?

3.- ¿Que tipo de medio físico maneja?

4.- ¿ Bajo que protocolos trabaja?

5.- ¿ Que medidas se toman en el caso de extravío de algún dispositivo?

6.- ¿ El acceso al site esta restringido?

7.- ¿Que medias de seguridad maneja este departamento?

8.-¿ Que políticas de seguridad maneja para la seguridad de la red ?

9.- ¿ Con que tipo de capacitación cuenta?

10.- ¿ Que tipo de mantenimiento se les da a los equipos de la red?

Encuesta

1.- ¿El lugar donde se encuentra el site esta seguro de inundaciones, robo o cualquier otra
situación que pueda poner en peligro el equipo?
Si_____ No_____ Por que _____

2.- ¿La temperatura a la que trabajan los equipos es la adecuada de acuerdo a las normas bajos las
cuales se rige?

Si_____ No_____ Por que _____

3.- ¿La ubicacion de los aires acondicionados es la adecuada?

Si_____ No_____ Por que _____

4.- ¿ Los ductos de estos se encuentran limpios?

Si_____ No_____ Por que _____

5.- ¿ El cableado se encuentra debidamente instalado?

Si_____ No_____ Por que _____

6.- ¿Cuenta con los planos de instalación eléctrica por si llega a ocurrir algún problema?

Si_____ No_____ Por que _____

7.- ¿Los cables estan dentro de paneles y canales eléctricos?

Si_____ No_____ Por que _____

8.- ¿Con que periodo se les da mantenimiento a los equipos?

3 meses ______ 6 meses_____ Otros______

9.- ¿Cuenta con algún tipo de control de entradas y salidas de usuarios?

Si_____ No_____ Por que _____

10.- ¿ El usuario respeta ese control?

Si_____ No_____ Por que _____

11.- ¿Que tipo de sistema operativo maneja?

______________

12.- ¿Con que tipos de programas cuentan los equipos?

__________ __________ ___________ ___________

13.- ¿Cuanta con manuales para cada uno de estos programas ?

Si_____ No_____ Por que _____

14.- ¿Cuenta con algún reglamento?

Si_____ No_____ Por que _____

15.- ¿Que tipo de mantenimiento realizan?

a) Preventivo b) Correctivo c) Ambos d) Otros______

16.- ¿Por que razón?

_______________________________

17.- ¿Que tipo de material utilizan para realizar el mantenimiento del Hardware?

18.- ¿ Que tipo de material utilizan para realizar el mantenimiento del Software?

19.- ¿Se restringe el acceso al departamento de personas ajenas a la dirección de informática?

Si_____ No_____ Por que _____

20.- ¿Que tipo de topología utiliza?

a) BUS b) Estrella c)Mixta d)Anillo e)Otra_______

21.- ¿Basada en la pregunta anterior cuenta con algun diagrama de su topología?

Si_____ No_____ Por que _____

22.- ¿cuantas personas de tiempo completo se encuentran a cargo del departamento de redes ?

a) 1-5 b) 6-10 c) 11-15 d) Otros____

23.-¿ Basado en la pregunta anterior, que certificaciones relacionadas con la administración de

redes poseen las personas que trabajan en este departamento?

a) Ninguna

b)CCNA Cisco Certified Network Associate.

c) CCNP Cisco Certified Network Professional.

d) CCIE Cisco Certified Internet Expert.

Test Cualidades Técnicas

1.- Mencione los tipos de redes que conoce

2.- ¿Que protocolo de enrutamiento conoce y cuales puede configurar?

3.- ¿Que comandos se utilizan para configurar una VLAN?

4.-¿Cuales son los beneficios de un servidor VTP?

5.- ¿Cual es el funcionamiento del STP?

6.-¿ Que comandos utilizaria para configurar enlaces WAN?

7.- ¿Que medidas tomaría para la seguridad física y lógica de la red?

8.-¿Cuenta con algún certificado en redes?

9.- ¿Que tipo de servidores sabe configurar?

10.- ¿Conoce STP y sabe como configurarlo?

Publicado en Sin categoría | Deja un Comentario »

febrero 5, 2010 por Alylu Gama Vazquez

Principios Deontologicos Del Auditor Informático.

Principio de beneficio del auditado

El auditor deberá conseguir la máxima validez y rentabilidad de los recursos informáticos de la

empresa.

El auditor deberá impedir el buscar sus propios intereses.

Principio de calidad

El auditor deberá ser servicial con los recursos que estén a su disposición: permitir el uso de sus
servicios y que tengan las condiciones técnicas mejores.

Principio de capacidad
El auditor deberá estar completamente preparado para llevar a cabo la auditoría que se ha dejado
a su cargo.

Debe tener la mayor responsabilidad y considerar hasta donde llegarán sus conocimientos, su
preparación y entrenamiento para realizar la auditoría.

Principio de cautela

El auditor debe evitar que el auditado se envuelva en proyectos de futuro basados en suposiciones
sobre el avance de las nuevas tecnologías de la información.

Publicado en Principios Deontologicos Del Auditor Informático. | Deja un Comentario »

febrero 4, 2010 por Alylu Gama Vazquez

Plan De Contingencia.

Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo. Presenta una

estructura estratégica y operativa que ayudara a controlar una situación de emergencia y a
minimizar sus consecuencias negativas. Este propone una serie de procedimientos alternativos al
funcionamiento normal de la organización, cuando alguna de sus funciones usuales se ve
perjudicada por una contingencia interna o externa.

¿Para que sirve?

Sirve para poder identificar las alternativas de posibles problemas futuros. Se tiene que hacer una
relación del costo- beneficio para cada una de las alternativas que se tenga.

¿Que debe de tener un plan de contingencia?

Objetivo del plan.- Establecer el propósito del plan.

Modo de ejecución: Establecer la manera en que se hará el plan.

Tiempo de duración: Se debe de establecer un tiempo por departamento a auditar.

Costos estimados: Tener un costo estándar.

Recursos necesarios: Tener a la mano todos los recursos materiales para poder realizar la
auditoria. Se supone que los auditores deben de llegar en auto, llevar consigo cámaras, lápiz,
pluma, etc.….

Evento a partir del cual se pondrá en marcha: Cuando llega a ocurrir un evento, se debe de hacer
la auditoria en ese momento preciso, para verificar el problema y dar una solución a este.

Personas encargada de llevar a cabo el plan y sus responsabilidades: Son las personas que están a
cargo del plan

Validación del plan de contingencias: el plan debe de estas valuado por alguien nosotros como
trabajadores realizamos el trabajo pero alguien mas lo tiene que valuar. (un ejemplo muy simple
seria protección civil).

PRUEBAS DE VIABILIDAD.

1.- ponen de manifiesto que:

Los procedimientos están completos.

Que los materiales y registros vitales están disponibles.

Que los backup de software, documentación y trabajo en procesos son los adecuados y están
actualizados.

Que el personal ha sido entrenado adecuadamente.

2.- Definir y documentar las pruebas del plan:

3.- Desarrollar planes para pruebas específicas.

4.- Llevar a cabo las pruebas y documentarlas

Observador.

formularios.

sesiones informativas.

LOGS de equipo (logísticas de equipo).

Herramientas.

5.- Actualizar el plan de contingencia de acuerdo a los resultados obtenidos en las pruebas:

Establecer procedimientos y calendarios de mantenimiento.

Desarrollar procedimientos y listas de distribución.

Publicado en Plan De Contingencia. | Deja un Comentario »

febrero 3, 2010 por Alylu Gama Vazquez

La Evaluación De Riesgos.
La evaluación de riesgos esta relacionado con lo que es la función del auditor. Esta tiene por
objetivo establecer los controles para prevenir o reducir riesgos; para esto se debe de evaluar la
eficacia de los controles, primero se deberá identificar los riesgos que se deben de prevenir,
detectar o corregir. Un riesgo se puede evaluar por medio de: El daño posible y la probabilidad de
que dicho riesgo llegue a ocurrir.

Los factores a evaluar son:

Tipo de información.- Confiable o no confiable.

Criticidad de las aplicaciones.- Qué tan importante es la información para dicho departamento.

Tecnología usada.- Cada uno de los componentes de los equipos avanzan muy rápido, conforme
pasa el tiempo, es decir se debe de evitar la vulnerabilidad de cada unos de los equipos de
computo.

Marco legal.- Es muy importante ya que todo tiene que ser legal y comprobado.

Sector entidad.- Se debe de identificar lo que será evaluado dentro de la organización, por
ejemplo el departamento de informático, el de sistemas o toda la organización.

El momento. Planear el tiempo de duración de la auditoría.

Ahora bien entraremos a una definición muy importante en lo que lleva a la evaluación de los
riesgos la cual es la siguiente:

Amenaza

Se define como aquellos riesgos presentes que pueden ocurrir en un futuro no muy lejano. Dentro
de una amenaza se deben de considerar los siguientes factores:

• Calificar el tipo de riesgo que se esta presentando.

• Clasificar el peso de esa amenaza.

• Calcular cual riesgo es más importante para darle una solución.

¿QUE HACER CON EL RIESGO?

• Eliminarlo. Descartar el posible riesgo que se presente.

• Disminuirlo. Se debe de crear una posible solución para disminuirlo.

• Transferirlo. Se tiene que mover a otro sitio mientras se encuentra una solución para este.

• Asumirlo. Se tiene que planear una solución fiable para solucionarlo.

La mejor solución posible que se tiene es que hay que asumir el riesgo que se presente y
disminuirlo hasta eliminarlo ó transferirlo a donde menos daño haga hasta solucionarlo.

Publicado en Evaluación de Riesgos | Deja un Comentario »

enero 31, 2010 por Alylu Gama Vazquez

Auditoria Informática

Clase 26/01/2010

Yo considero a la auditoria informática como las actividades o procedimientos que se realizan para
poder examinar el estado real de un departamento informático es decir revisar la eficacia, la
seguridad con la que cuenta y verifica si se están siguiendo todas las reglas correspondientes en
dicho departamento. Esta auditoria no solo se realiza a los sistemas si no también a las personas
que trabajan con ellos.

Los objetivos principales de este tipo de auditoria son:

Llevar un adecuado control en la función del departamento informático de cualquier organización.

Examinar la validez de los sistemas de información que utiliza.

Revisar que las normas de la empresa se cumplan.

Revisar que los recursos tanto humanos como informáticos trabajen adecuadamente.

Muchas de las compañías hoy en día acuden a auditorias externas cuando presienten señales de
debilidad en su organización y para evitar conflictos deciden contratar a auditores externos para
que realicen el trabajo adecuadamente, esto no quiere decir que los auditores internos no realicen
bien su trabajo, si no que contratan a los auditores externos para verificar si la información que les
fue entregada por los auditores internos es la correcta.

Publicado en Auditoria Informática | Deja un Comentario »

enero 31, 2010 por Alylu Gama Vazquez

Actividad 27/01/2010

A continuación se muestra una actividad el cual nos puso el Ing. Ricardo a realizar el día
27/01/2010, En esta teníamos que definir lo que es: Auditor interno, Auditor externo y Auditoria
Externa con nuestras propias palabras y teníamos que realizar un dibujo que explicara lo que
habíamos escrito sobre estos conceptos, a continuación muestro esto:

Auditor Interno:

Es la persona encargada valga la redundancia de auditar una organización en la cual trabaja, las
funciones de este son: prevenir y detectar los posibles fraudes o fallos que pueden perjudicar a
dicho organismo, este tipo de auditor debe de cumplir con unas ciertas características las cuales
considero que son:

Debe ser amable.

Buen comunicador.

Debe ser firme en sus decisiones.

Positivo.

Creativo.

Analítico.

Trabajador.

Auditor Externo:

Es el que se encarga de auditar mas de una compañía, este es contratado por mas de una
organización cuando necesita verificar la auditoria que el auditor interno realizo, este debe de
contar con las mismas características que el auditor interno.

Auditoria Externa:

Se encarga de examinar y evaluar cualquier sistema de una organización y emite una opinión
acerca de estos. Esta auditoria la debe de llevar a cabo una persona independiente de la
organización, esta debe de dar una opinión profesional sobre los resultados que se obtuvieron al
realizar dicho análisis. La persona que realiza esta auditoria es el auditor externo, este tienes las
funciones de: Detectar errores, Ofrecer experiencia ya que cuenta con los conocimientos
necesarios para realizar la auditoria eficientemente, Debe de supervisar el cumplimiento adecuado
del trabajo que se realiza.

“Después de que la estudiante universitaria You Jia Qi conozca a Meng He Ping, los dos empiezan a
salir. Sin embargo la madre de Meng He Ping se opone enérgicamente a su relación. Jia Qi rompe
con He Ping y He Ping furioso se marcha al extranjero. El amigo de Jia Qi, Ruan Zheng Dong que
proviene de una familia rica, tiene un accidente y termina en el hospital. Jia Qi va visitarlo e
inesperadamente se encuentra otra vez con He Ping. Resulta que He Ping y Zheng Dong son
amigos de la infancia. Para escapar del dolor que la reaparición de He Ping le ha producido, Jia Qi
empieza a salir con Zheng Dong. Zheng Dong termina otra vez en el hospital debido a un dolor de
estómago que resulta ser un cáncer gástrico en fase terminal. Él decide dejar que He Ping y Jia Qi,
los dos amantes, estén juntos y los deja en secreto. Jia Qi comienza a buscarlo. Cuando Jia Qi
finalmente encuentra a Zheng Dong, ella le dice que se ha enamorado ya de él. Zheng Dong sabe
que no le queda mucho tiempo y le pide a Jia Qi que lo ayude a recuperar una propiedad muy
importante que le pertenece.

Bruno Mars