AUDITORIA DE SISTEMAS DE TI

INTERPRETACIÓN DE LA INFORMACIÓN

Conceptos Básicos

1. Describir el concepto de evidencia, las irregularidades, los papeles de trabajo o documentación

• De acuerdo al diccionario de la real academia española, una evidencia es un conocimiento que se nos aparece intuitivamente de tal manera que podemos afirmar la validez de su contenido, como verdadero, con certeza y  sin sombra de duda
• La evidencia es la base de juicio del auditor. Es con lo que se sustentara la correcta ejecución de los procesos, procedimientos o instrucciones de trabajo.
• La evidencia, es uno de los fundamentos de la auditoria, la forma de solicitar evidencia y el tipo de evidencia dependerá del tipo de auditoría aplicada.

  2. Interpretación de los resultados de la Auditoria Informática

El informe es el documento más importante de la auditoría informática en el cuál se presenta los 

resultados obtenidos durante la evaluación. Es el documento que refleja los objetivos, alcances, 

observaciones, recomendaciones y conclusiones del proceso de evaluación relacionadas con las áreas de informática

.(Doblado, 2007)

   3.  Identificar los tipos de opiniones

Opinión Favorable:

En una opinión favorable, el auditor manifiesta de forma clara y precisa que las cuentas anuales 

consideradas expresan en todos los aspectos significativos la imagen fiel del patrimonio y de la situación financiera, de los resultados de sus operaciones y de los recursos obtenidos y aplicados durante el ejercicio, y contienen la información necesaria y suficiente para su interpretación y comprensión adecuada. 

Opinión con Salvedades:

Este tipo de opinión es aplicable cuando el auditor concluye que existen una o varias de las circunstancias que se relacionan en este apartado, siempre que sean significativas en relación con las cuentas anuales tomadas en su conjunto. 

Opinión Desfavorable:

La opinión desfavorable supone manifestarse en el sentido de que las cuentas anuales tomadas en su 

conjunto no presentan la imagen fiel del patrimonio, de la situación financiera, del resultado de las 

operaciones o de los cambios de la situación financiera de la entidad auditada, de conformidad con los principios y normas contables generalmente aceptados. 

Opinión Denegada:

Cuando el auditor no ha obtenido la evidencia necesaria para formarse una opinión sobre las cuentas anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una opinión sobre las mismas.

  4.  Describir los componentes, características y tendencias de un informe

Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qué normas de auditoría. 

Expresa si las cuentas anuales contienen la información necesaria y suficiente y han sido formuladas de acuerdo con la legislación vigente y, también, si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad.

Protocolos de Seguridad

Protocolos de Seguridad

Buen día, hoy les vengo a compartir información sobre los protocolos de seguridad para mantener resguardada la confidencialidad de nuestra informacion y conocer el funcionamiento de cada uno de estos protocolos priero en pesaremos con el protocolo AAA.

Protocolo AAA

Del acronimo autenticación, autorización y contabilización.

Autentifica : Proceso por el que una entidad prueba su identidad ante otra.

Autorización: Se refiere a la concesión de privilegios específicos (incluyendo "ninguno") a una entidad o usuario basándose en su identidad

Contabilización: Se refiere al seguimiento del consumo de los recursos de red por los usuarios.

RADIUS

Es un protocolo UDP de autenticación y autorización, para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UPD para establecer sus conexiones.

Sus principales caracteristicas son:

1. Cliente / Servidor

Modelo A Network Access Server (NAS).

Funciona como un cliente de RADIUS. El cliente es responsable de pasar la información del usuario a los servidores RADIUS designados, y luego actuar sobre la respuesta que se devuelve.

Servidores RADIUS.

Se encargan de recibir las solicitudes de conexión del usuario, la autenticación del usuario, y luego regresar toda la información de configuración necesarios para el cliente para ofrecer un servicio al usuario.

Un servidor RADIUS puede actuar como un cliente proxy para otros servidores RADIUS o de otros tipos de servidores de autenticación

TACACS

Es el protocolo de la tercera generación de la familia protocolos TACACS (RFC 1492). TACACS (Control de Acceso a la Terminal Access Controller System) - es un protocolo de autenticación remota, que se utiliza en el proceso de proporcionar acceso a los servidores de información, servidores de acceso remoto y otros dispositivos de red activos. Fue desarrollado por U. S. Departamento de Defensa y BBN Planet corp. (Bolt, Beranek y Newman, Inc). Más tarde él había varias veces ha hecho a mano por Cisco Systems Inc.

TACACS + es un protección de la aplicación del servidor, lo que permite, sobre la base del protocolo pertinente gestionar de forma centralizada el acceso del usuario al servidor Router de acceso de red u otro equipo de la red, apoya TACACS +. Información sobre servicios y TACACS + usuario almacenada en la base de datos, por lo general colocado en un equipo que ejecuta UNIX o Windows NT (Windows 2000/2003).

Auditoria Informatica

Definición de Auditoría

 Examen sistemático independiente y documentado para obtener evidencias y evaluarlas
objetivamente a fin de determinar hasta qué punto los criterios de auditoría se cumplen”.  (ISO
9000:2000   ISO 19011)
31
(Najera, 2009)

Normas Y Estándares.

Algunas normas y estándares relacionados con proyectos de Tecnologías de la Información se
presentan a continuación.
Existen entidades internacionales reconocidas, que se preocupan por realizar metodologías,
normas, estándares, modelos y/o directrices, enfocados a los desarrolladores como a los
adquiridores de software. Entre las principales se puede mencionar a:

• SEI (Software Engineering Institute - Instituto de Ingeniería de Software)

• IEEE (Institute of Electrical and Electronics Engineers - Instituto de Ingenieros Eléctricos y Electrónicos)

•  ISO (International Organization for Standarization - Organización Internacional de Estandarización)

•  SPICE (Software Process Improvement and Capability dEtermination – Mejoramiento de procesos de Software y determinación de capacidad).

Dentro de los desarrollos del SEI podemos describir a SW-CMM (SEI 1993) (Software Capability
Maturity Model - Modelo de Madurez de Capacidad de Software), SA-CMM (SEI 2002a) (Software
Acquisition Capability Maturity Model - Modelo de Madurez de Capacidad para la Adquisición de
Software), CMMI (SEI 2002b, SEI 2002c) (Capability Maturity Model Integrated - Modelo de
Capacidad de Madurez Integrado) y CMMI – AM (SEI 2005) (CMMI Adquisition Module -l Modulo
de Adquisición para CMMI).

El IEEE presenta muchos estándares relacionados o involucrados con la calidad de software como
son: 610.12-1990 que es el glosario estándar de terminología de ingeniería de software, 730-1998
que es el estándar para planes de seguridad de calidad de software, 829-1998 estándares para
documentar la evaluación de software, 830-1998 practicas recomendadas para especificación de
requerimientos de software, 1012-1998 estándar para la verificación y validación de software,
1016-1998 practicas recomendadas para la descripción de diseño de software, 1062a-1998
practicas recomendadas para la adquisición de software y muchas otras más.
Otro estándar importante es SPICE (Software Process Improvement and Capability dEtermination)
que también es conocido como ISO/IEC 15504 es un modelo de madurez de procesos
internacional que proporciona un marco de trabajo para la evaluación de procesos de software.
Sin embargo, iniciaremos RECORDANDO la norma más común a nivel internacional:

ISO 9000

La norma ISO 900 surge debido a la retroalimentación de los usuarios, el desarrollo de los modelos
de evaluación y mejora continua, así como las críticas especializadas que  requieren un estándar
con las siguientes CARACTERÍSTICAS:

• Emplee una aproximación de gestión basada en el proceso.
• Sea compatible con otros sistemas de gestión.
• Incluya requisitos para la mejora continua del sistema de calidad.
• Coincida con las necesidades de los participantes externos.
• Sea amigable al usuario y al cliente. 

ISO 9000 constituye las Normas para la gestión y garantía de la calidad.
La familia ISO está formada por:

• ISO 9001, Modelo para la garantía de la calidad en diseño/desarrollo, producción, 

instalación y servicio.

• ISO 9002, Modelado para garantizar la calidad en producción y servicios.
• ISO 9003, Modelos para garantizar la calidad en inspección final y pruebas.
• ISO 9004, Elementos y gestión del sistema de calidad, Directrices para la mejora del rendimiento.
• ISO 9011, Directrices para la auditoria de los sistemas de gestión de la calidad y/o ambiental.
• ISO 9126, Evalúa la calidad de los productos de software. (1992).

Las cinco secciones en que se divide ISO 9001:2000 son:

1. QMS Sistema de Gestión de la Calidad (Requisitos generales y Requisitos de la
documentación)
2. Responsabilidad de la Gestión (Compromiso de la dirección, Enfoque al cliente, Política de
la calidad, Planificación,…).
3. Gestión de los Recursos (Provisión de recursos, Recursos humanos, Infraestructura,
Ambiente de trabajo).
4. Realización del Producto (Planificación de la realización del producto, Procesos
relacionados con los clientes, Diseño y desarrollo, Compras, Prestación del servicio).
5. Medición Análisis y Mejora (Generalidades, Supervisión y Medición, Control de servicio no-
conforme, Análisis de datos, Mejora).

Elementos de la Planeación de la Auditoria Informática

Algunos Elementos de la planeación de la Auditoria Informática se ponen a continuación:

•  Objetivo y alcance de la auditoria.
•  Personas  (o funciones) a ser auditadas.
•  Elementos del sistema de calidad aplicables.
•  Documentos de referencia aplicables.
•  Miembros del equipo auditor.
•  Idioma (si es aplicable).
•  Lugar y fecha de la auditoria.
•  Tiempo de reunión de apertura y cierre
•  Requisitos de confidencialidad.
•  Distribución del informe y fecha esperada de publicación.

(Ros-Martín, 2004)

Listas De Verificación

DEFINICIÓN.- Derrotero con los aspectos a ser auditados y que permite ir registrando durante su
ejecución, las diversas observaciones y hallazgos encontrados.
RECOMENDACIONES PARA LA LISTA DE VERIFICACIÓN:
· Evaluación del conocimiento del auditado
· Disponibilidad del procedimiento
· Verificación del cumplimiento de la norma
· Observar auditorias anteriores

(Aguirre, 2008)

SSL Y TLS Historia

SSL Y TLS Historia

Buenos días amigos el día de hoy les compartiré un poco de información sobre el protocolo SSL y TLS para el cifrado en paginas WEB.
Aquí podrán conocer su historia, funcionalidad y propósito sobre estos protocolos, comenzaremos con ¿Qué es SSL?.

SSL

SSL (Secure Sockets Layer) traducido al español significa Capa de Conexiones Seguras. Es un protocolo que hace uso de certificados digitales para establecer comunicaciones seguras a través de Internet. Recientemente ha sido sustituido por TLS (Transport Layer Security) el cual está basado en SSL y son totalmente compatibles.

Te permite confiar información personal a sitios web, ya que tus datos se ocultan a través de métodos criptográficos mientras navegas en sitios seguros.

Es utilizado ampliamente en bancos, tiendas en línea y cualquier tipo de servicio que requiera el envío de datos personales o contraseñas. No todos los sitios web usan SSL.

Se utiliza un método de cifrado para que no cualquiera pueda leer tu información y la manera inversa que es el descifrado para leer esta información, para esto utilizamos una llave publica que es conocida por el usuario y una llave privada que es la identificación de este usuario, esto se puede definir como una firma digital.


Integridad del certificado: Verifica que el certificado se encuentre íntegro, esto lo hace descifrando la firma digital incluida en él mediante la llave pública de la AC y comparándola con una firma del certificado generada en ese momento, si ambas son iguales entonces el certificado es válido.

Vigencia del certificado: Revisa el periodo de validez del certificado, es decir,  la fecha de emisión y la fecha de expiración incluidos en él.

Verifica emisor del certificado: Hace uso de una lista de Certificados Raíz almacenados en tu computadora y que contienen las llaves públicas de las ACs conocidas y de confianza.

Bailey Whitfield & Martin Hellman

Bailey Whitfield 

5/06/1944

Es un criptógrafo estadounidense y un pionero en la criptografía asimétrica.

En 1965 se graduó como Bachelor of Science en matemáticas en el Instituto Tecnológico de Massachusetts.

En 1976 publicó junto a Martin Hellman New Directions in Cryptography, que presentaba un nuevo método de distribución de claves criptográficas para solucionar uno de los problemas fundamentales de la criptografía: la distribución de la clave. Dicha publicación trataba de un nuevo protocolo criptográfico, que posteriormente se ha dado a conocer como protocolo de Diffie-Hellman, y ha estimulado el desarrollo público de un nuevo tipo de algoritmos de criptografía asimétrica.

Diffie fue gerente de investigación en sistemas de seguridad para la Northern Telecom, donde diseñó la arquitectura de gestión de claves para el sistema de seguridad PDSO para redes X.25.

En 1991 se incorporó a Sun Microsystems Laboratories (en Menlo Park, California) como ingeniero distinguido y trabajó principalmente en los aspectos de política pública de la criptografía. En mayo de 2007 Diffie ascendió a jefe oficial de seguridad y vicepresidente de Sun Microsystems.

En 1992 le fue otorgado el doctorado honoris causa en Technical Sciences por la Escuela Politécnica Federal de Zúrich (Eidgenössische Technische Hochschule Zürich).

En 1998 se publicó el libro de Diffie y Susan Landau Privacy on the Line (Privacidad en Línea) que trata sobre la política de las escuchas telefónicas y la criptografía. En 2007 se publicó una versión actualizada y ampliada.

Martin Hellman

02/10/1945

Es un criptólogo estadounidense. Hellman es famoso por ser el inventor junto aDiffie de la criptografía de clave pública junto con Ralph Merkle. Ambos publicaron en 1976 New Directions in Criptografhy que introducía un cambio radical, un nuevo método de distribución de claves que solucionó uno de los mayores problemas de la criptografía hasta entonces, la distribución de claves.

Estudió en el Instituto de Ciencias del Bronx y obtuvo su título en Ingeniería Eléctrica por la Universidad de Nueva York en 1966. Realizó un Master PostGrado en la Universidad de Stanford. Uno de sus primeros empleos fue en IBM. Ha sido profesor en MIT(Instituto Tecnológico de Massachusetts) y en Stanford donde ha sido nombrado profesor emérito en 1996.

En su última visita a España en el año 2007 aseguró que la criptografía cuántica está aún en estado embrionario y hasta dentro de 30 años no se verán sus primeras aplicaciones prácticas, que romperán con facilidad los actuales sistemas de cifrado. La Criptografía Cuántica se encargará de que su descifrado sea un juego de niños, susceptible de caer en manos de terroristas o criminales, para Hellman la mejor forma de que la información este segura es que no exista, que no se guarden los datos.

Tipos de Cifrados

Tipos de Cifrados (SHA1, MD5, RSA)

MD5

Es un algoritmo que proporciona un código asociado a un archivo o un textoconcretos. De esta forma, a la hora de descargar un determinado archivo, como puede ser un instalador, el código generado por el algoritmo, también llamado hash, viene “unido” al archivo.

Para que nosotros podamos ver este código MD5, existe software que analiza el archivo descargado y obtiene dicho código de él. Con el hash de nuestra descarga, podemos acudir a la web del desarrollador del programa del que tenemos el instalador y buscar el código MD5 de su instalador original. Una vez tengamos disponibles los dos códigos MD5, el de nuestro archivo descargado y el del instalador o software de la web oficial del desarrollador, podremos comparar ambos y ver si coinciden y nuestro archivo es fiable o no.

SHA1

NIST presentó en 1993 un algoritmo basado en las mismas técnicas que MD5 y denominado SHA (Secure Hash Algorithm).

El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA. Sin embargo, hoy día, no oficialmente se le llama SHA‐0 para evitar confusiones con sus sucesores. Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA‐1.

Este algoritmo en 1995 la Agencia de Seguridad Nacional (NSA) lo sustituyó por una versión mejorada que actualmente se conoce como SHA-1 y que se considera más seguro que MD5. Produce un código hash de 160 bits para mensajes de longitud máxima 264 bits, aunque existen otras variantes poco utilizadas todavía que producen códigos de mayor longitud.

En general, SHA1 se considera el mejor algoritmo de la familia de Algoritmos HASH o de resumen y es el que se aplica en la mayoría de las aplicaciones de firma electrónica. Por lo tanto es muy habitual aplicar SHA1 seguido de RSA para realizar una firma electrónica de un documento, o bien el algoritmo DSA específico para firma  electrónica que también utiliza SHA1 internamente.

RSA

Lo más básico del cifrado con 2 claves  (la privada y la pública).

El cifrado de 2 claves el cual es un cifrado prácticamente inviolable cuenta con 2 llaves que las genera la misma persona.

Genera una clave privada, esta clave debe conservarla celosamente y no compartirla con nadie, si alguien la supiera debería desecharla y crear un nuevo par de claves ( privada y publica )

También genera la segunda clave, la clave publica. Como su nombre lo dice la clave publica es “ PUBLICA “ y la puede compartir con el resto del mundo sin riesgo a su seguridad. La puedes enviar por email, whatsapp o cualquier medio inseguro, no hay ningún problema con que la gente obtenga la clave pública

¿ Como se usan estas 2 claves ?

Las claves se usan indistintamente para cifrar y descifrar bloques de información que pueden ser mensajes o bloques binarios , pero dependiendo con que clave cifres es el propósito del decifrado.

    El uso de la clave publica

Cifrar y enviar un mensaje seguro que solo podrá ser leído por el destinatario y nadie más, por lo que no podrá ser descifrado jamás si no se tiene la clave privada. Esto garantiza que la información es totalmente confidencial.

El uso de la clave privada.

La clave privada también puede cifrar un mensaje que podría ser descifrado con la clave publica, ojo porque aquí el propósito cambia, ¿ que sentido tendría enviar un mensaje cifrado que puede ser descifrado con la clave que cualquiera puede obtener? Aquí la privacidad del mensaje no es tan importante como confirmar que el que envía el mensaje es la persona que dice ser.

Como solamente el dueño de la clave privada conoce la clave privada, solo el pudo haber cifrado ese mensaje el que recibe el mensaje no tiene duda que quien se lo manda es el dueño de la clave privada y es una prueba irrefutable de confiabilidad de que el mensaje proviene de quien dice ser.

Recursos Humanos

Recursos

La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal

seleccionado dependen de la materia auditable.

Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales

universitarios y por otras personas de probada experiencia multidisciplinaria.

(Aumatell, 2003)

Capital Humano

El auditor informático como encargado de la verificación y certificación de la informática

dentro de las organizaciones, deberá contar con un perfil que le permita poder

desempeñar su trabajo con la calidad y la efectividad esperada. Para ello a continuación se

establecen algunos elementos con que deberá contar:

• Conocimientos generales.

• Herramientas.

• Técnicas.

· Todo tipo de conocimientos tecnológicos, de forma actualizada y

especializada respecto a las plataformas existentes en la organización.

· Normas, estándares para la auditoría interna.

· Políticas organizacionales sobre la información y las tecnologías de la

información.

· Características de la organización respecto a la ética, estructura

organizacional, tipo de supervisión existente, compensaciones monetarias

a los empleados, extensión de la presión laboral sobre los empleados,

historia de la organización, cambios recientes en la administración,

operaciones o sistemas, la industria o ambiente competitivo en la cual se

desempeña la organización, etc.

· Aspectos legales

· Herramientas de control y verificación de la seguridad.

· Herramientas de monitoreo de actividades, etc.

· Técnicas de Evaluación de riesgos.

· Muestreo.

· Cálculo post operación.

· Monitoreo de actividades.

· Recopilación de grandes cantidades de información.

· Verificación de desviaciones en el comportamiento de los datos.

· Análisis e interpretación de la evidencia, etc.

Gestión De Recursos Humanos

La gestión de los recursos humanos se encarga de obtener y coordinar a las personas de una

organización, de forma que consigan las metas establecidas. Para ello es muy importante cuidar

las relaciones humanas.

Objetivos de la gestión de recursos humanos:

• Atraer a los candidatos al puesto de trabajo que estén potencialmente cualificados
• Retener a los mejores empleados
• Motivar a los empleados
• Ayudar a los empleados a crecer y desarrollarse en la organización
• Aumento de la productividad
• Mejorar la calidad de vida en el trabajo
• Cumplimiento de la normativa y legislación

(Esquirol, 1992)