AUDITORIA DE SISTEMAS DE TI

INTERPRETACIÓN DE LA INFORMACIÓN

Conceptos Básicos

1. Describir el concepto de evidencia, las irregularidades, los papeles de trabajo o documentación

• De acuerdo al diccionario de la real academia española, una evidencia es un conocimiento que se nos aparece intuitivamente de tal manera que podemos afirmar la validez de su contenido, como verdadero, con certeza y  sin sombra de duda
• La evidencia es la base de juicio del auditor. Es con lo que se sustentara la correcta ejecución de los procesos, procedimientos o instrucciones de trabajo.
• La evidencia, es uno de los fundamentos de la auditoria, la forma de solicitar evidencia y el tipo de evidencia dependerá del tipo de auditoría aplicada.

  2. Interpretación de los resultados de la Auditoria Informática

El informe es el documento más importante de la auditoría informática en el cuál se presenta los 

resultados obtenidos durante la evaluación. Es el documento que refleja los objetivos, alcances, 

observaciones, recomendaciones y conclusiones del proceso de evaluación relacionadas con las áreas de informática

.(Doblado, 2007)

   3.  Identificar los tipos de opiniones

Opinión Favorable:

En una opinión favorable, el auditor manifiesta de forma clara y precisa que las cuentas anuales 

consideradas expresan en todos los aspectos significativos la imagen fiel del patrimonio y de la situación financiera, de los resultados de sus operaciones y de los recursos obtenidos y aplicados durante el ejercicio, y contienen la información necesaria y suficiente para su interpretación y comprensión adecuada. 

Opinión con Salvedades:

Este tipo de opinión es aplicable cuando el auditor concluye que existen una o varias de las circunstancias que se relacionan en este apartado, siempre que sean significativas en relación con las cuentas anuales tomadas en su conjunto. 

Opinión Desfavorable:

La opinión desfavorable supone manifestarse en el sentido de que las cuentas anuales tomadas en su 

conjunto no presentan la imagen fiel del patrimonio, de la situación financiera, del resultado de las 

operaciones o de los cambios de la situación financiera de la entidad auditada, de conformidad con los principios y normas contables generalmente aceptados. 

Opinión Denegada:

Cuando el auditor no ha obtenido la evidencia necesaria para formarse una opinión sobre las cuentas anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una opinión sobre las mismas.

  4.  Describir los componentes, características y tendencias de un informe

Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qué normas de auditoría. 

Expresa si las cuentas anuales contienen la información necesaria y suficiente y han sido formuladas de acuerdo con la legislación vigente y, también, si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad.

Protocolos de Seguridad

Protocolos de Seguridad

Buen día, hoy les vengo a compartir información sobre los protocolos de seguridad para mantener resguardada la confidencialidad de nuestra informacion y conocer el funcionamiento de cada uno de estos protocolos priero en pesaremos con el protocolo AAA.

Protocolo AAA

Del acronimo autenticación, autorización y contabilización.

Autentifica : Proceso por el que una entidad prueba su identidad ante otra.

Autorización: Se refiere a la concesión de privilegios específicos (incluyendo "ninguno") a una entidad o usuario basándose en su identidad

Contabilización: Se refiere al seguimiento del consumo de los recursos de red por los usuarios.

RADIUS

Es un protocolo UDP de autenticación y autorización, para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812 UPD para establecer sus conexiones.

Sus principales caracteristicas son:

1. Cliente / Servidor

Modelo A Network Access Server (NAS).

Funciona como un cliente de RADIUS. El cliente es responsable de pasar la información del usuario a los servidores RADIUS designados, y luego actuar sobre la respuesta que se devuelve.

Servidores RADIUS.

Se encargan de recibir las solicitudes de conexión del usuario, la autenticación del usuario, y luego regresar toda la información de configuración necesarios para el cliente para ofrecer un servicio al usuario.

Un servidor RADIUS puede actuar como un cliente proxy para otros servidores RADIUS o de otros tipos de servidores de autenticación

TACACS

Es el protocolo de la tercera generación de la familia protocolos TACACS (RFC 1492). TACACS (Control de Acceso a la Terminal Access Controller System) - es un protocolo de autenticación remota, que se utiliza en el proceso de proporcionar acceso a los servidores de información, servidores de acceso remoto y otros dispositivos de red activos. Fue desarrollado por U. S. Departamento de Defensa y BBN Planet corp. (Bolt, Beranek y Newman, Inc). Más tarde él había varias veces ha hecho a mano por Cisco Systems Inc.

TACACS + es un protección de la aplicación del servidor, lo que permite, sobre la base del protocolo pertinente gestionar de forma centralizada el acceso del usuario al servidor Router de acceso de red u otro equipo de la red, apoya TACACS +. Información sobre servicios y TACACS + usuario almacenada en la base de datos, por lo general colocado en un equipo que ejecuta UNIX o Windows NT (Windows 2000/2003).

Auditoria Informatica

Definición de Auditoría

 Examen sistemático independiente y documentado para obtener evidencias y evaluarlas
objetivamente a fin de determinar hasta qué punto los criterios de auditoría se cumplen”.  (ISO
9000:2000   ISO 19011)
31
(Najera, 2009)

Normas Y Estándares.

Algunas normas y estándares relacionados con proyectos de Tecnologías de la Información se
presentan a continuación.
Existen entidades internacionales reconocidas, que se preocupan por realizar metodologías,
normas, estándares, modelos y/o directrices, enfocados a los desarrolladores como a los
adquiridores de software. Entre las principales se puede mencionar a:

• SEI (Software Engineering Institute - Instituto de Ingeniería de Software)

• IEEE (Institute of Electrical and Electronics Engineers - Instituto de Ingenieros Eléctricos y Electrónicos)

•  ISO (International Organization for Standarization - Organización Internacional de Estandarización)

•  SPICE (Software Process Improvement and Capability dEtermination – Mejoramiento de procesos de Software y determinación de capacidad).

Dentro de los desarrollos del SEI podemos describir a SW-CMM (SEI 1993) (Software Capability
Maturity Model - Modelo de Madurez de Capacidad de Software), SA-CMM (SEI 2002a) (Software
Acquisition Capability Maturity Model - Modelo de Madurez de Capacidad para la Adquisición de
Software), CMMI (SEI 2002b, SEI 2002c) (Capability Maturity Model Integrated - Modelo de
Capacidad de Madurez Integrado) y CMMI – AM (SEI 2005) (CMMI Adquisition Module -l Modulo
de Adquisición para CMMI).

El IEEE presenta muchos estándares relacionados o involucrados con la calidad de software como
son: 610.12-1990 que es el glosario estándar de terminología de ingeniería de software, 730-1998
que es el estándar para planes de seguridad de calidad de software, 829-1998 estándares para
documentar la evaluación de software, 830-1998 practicas recomendadas para especificación de
requerimientos de software, 1012-1998 estándar para la verificación y validación de software,
1016-1998 practicas recomendadas para la descripción de diseño de software, 1062a-1998
practicas recomendadas para la adquisición de software y muchas otras más.
Otro estándar importante es SPICE (Software Process Improvement and Capability dEtermination)
que también es conocido como ISO/IEC 15504 es un modelo de madurez de procesos
internacional que proporciona un marco de trabajo para la evaluación de procesos de software.
Sin embargo, iniciaremos RECORDANDO la norma más común a nivel internacional:

ISO 9000

La norma ISO 900 surge debido a la retroalimentación de los usuarios, el desarrollo de los modelos
de evaluación y mejora continua, así como las críticas especializadas que  requieren un estándar
con las siguientes CARACTERÍSTICAS:

• Emplee una aproximación de gestión basada en el proceso.
• Sea compatible con otros sistemas de gestión.
• Incluya requisitos para la mejora continua del sistema de calidad.
• Coincida con las necesidades de los participantes externos.
• Sea amigable al usuario y al cliente. 

ISO 9000 constituye las Normas para la gestión y garantía de la calidad.
La familia ISO está formada por:

• ISO 9001, Modelo para la garantía de la calidad en diseño/desarrollo, producción, 

instalación y servicio.

• ISO 9002, Modelado para garantizar la calidad en producción y servicios.
• ISO 9003, Modelos para garantizar la calidad en inspección final y pruebas.
• ISO 9004, Elementos y gestión del sistema de calidad, Directrices para la mejora del rendimiento.
• ISO 9011, Directrices para la auditoria de los sistemas de gestión de la calidad y/o ambiental.
• ISO 9126, Evalúa la calidad de los productos de software. (1992).

Las cinco secciones en que se divide ISO 9001:2000 son:

1. QMS Sistema de Gestión de la Calidad (Requisitos generales y Requisitos de la
documentación)
2. Responsabilidad de la Gestión (Compromiso de la dirección, Enfoque al cliente, Política de
la calidad, Planificación,…).
3. Gestión de los Recursos (Provisión de recursos, Recursos humanos, Infraestructura,
Ambiente de trabajo).
4. Realización del Producto (Planificación de la realización del producto, Procesos
relacionados con los clientes, Diseño y desarrollo, Compras, Prestación del servicio).
5. Medición Análisis y Mejora (Generalidades, Supervisión y Medición, Control de servicio no-
conforme, Análisis de datos, Mejora).

Elementos de la Planeación de la Auditoria Informática

Algunos Elementos de la planeación de la Auditoria Informática se ponen a continuación:

•  Objetivo y alcance de la auditoria.
•  Personas  (o funciones) a ser auditadas.
•  Elementos del sistema de calidad aplicables.
•  Documentos de referencia aplicables.
•  Miembros del equipo auditor.
•  Idioma (si es aplicable).
•  Lugar y fecha de la auditoria.
•  Tiempo de reunión de apertura y cierre
•  Requisitos de confidencialidad.
•  Distribución del informe y fecha esperada de publicación.

(Ros-Martín, 2004)

Listas De Verificación

DEFINICIÓN.- Derrotero con los aspectos a ser auditados y que permite ir registrando durante su
ejecución, las diversas observaciones y hallazgos encontrados.
RECOMENDACIONES PARA LA LISTA DE VERIFICACIÓN:
· Evaluación del conocimiento del auditado
· Disponibilidad del procedimiento
· Verificación del cumplimiento de la norma
· Observar auditorias anteriores

(Aguirre, 2008)

SSL Y TLS Historia

SSL Y TLS Historia

Buenos días amigos el día de hoy les compartiré un poco de información sobre el protocolo SSL y TLS para el cifrado en paginas WEB.
Aquí podrán conocer su historia, funcionalidad y propósito sobre estos protocolos, comenzaremos con ¿Qué es SSL?.

SSL

SSL (Secure Sockets Layer) traducido al español significa Capa de Conexiones Seguras. Es un protocolo que hace uso de certificados digitales para establecer comunicaciones seguras a través de Internet. Recientemente ha sido sustituido por TLS (Transport Layer Security) el cual está basado en SSL y son totalmente compatibles.

Te permite confiar información personal a sitios web, ya que tus datos se ocultan a través de métodos criptográficos mientras navegas en sitios seguros.

Es utilizado ampliamente en bancos, tiendas en línea y cualquier tipo de servicio que requiera el envío de datos personales o contraseñas. No todos los sitios web usan SSL.

Se utiliza un método de cifrado para que no cualquiera pueda leer tu información y la manera inversa que es el descifrado para leer esta información, para esto utilizamos una llave publica que es conocida por el usuario y una llave privada que es la identificación de este usuario, esto se puede definir como una firma digital.


Integridad del certificado: Verifica que el certificado se encuentre íntegro, esto lo hace descifrando la firma digital incluida en él mediante la llave pública de la AC y comparándola con una firma del certificado generada en ese momento, si ambas son iguales entonces el certificado es válido.

Vigencia del certificado: Revisa el periodo de validez del certificado, es decir,  la fecha de emisión y la fecha de expiración incluidos en él.

Verifica emisor del certificado: Hace uso de una lista de Certificados Raíz almacenados en tu computadora y que contienen las llaves públicas de las ACs conocidas y de confianza.