Beruflich Dokumente
Kultur Dokumente
Facultad de Ingeniera
Escuela de Ingeniera en Ciencias y Sistemas
FACULTAD DE INGENIERA
TRABAJO DE GRADUACIN
AL CONFERRSELE EL TTULO DE
DECANO
VOCAL I
VOCAL II
VOCAL III
VOCAL IV
VOCAL V
SECRETARIO
DECANO
EXAMINADOR
EXAMINADOR
EXAMINADOR
SECRETARIO
Dios
Mara Santsima
Mi madre
Mi hermano
Mi familia
Mis amigos
Mi asesora
NDICE GENERAL
1.
1.2.
1.3.
1.4.
1.4.2.
2.
ESTNDARES INTERNACIONALES DE
CALIDAD
COBIT 4.0................................................................................ 17
2.1.1.
Planificacin y organizacin.................................... 21
2.1.2.
2.1.3.
2.1.4.
2.2.
2.3.
2.2.2.
2.2.3.
2.3.2.
2.3.3.
2.3.4.
2.3.5.
2.3.6.
2.3.7.
2.3.8.
2.3.9.
2.3.10.
Cumplimiento ......................................................... 36
2.4.
ITIL .......................................................................................... 36
2.5.
2.6.
3.
2.5.1.
2.5.2.
Proceso de planificacin......................................... 40
2.5.3.
2.5.4.
2.5.5.
4.
3.1.
3.2.
3.3.
5.
4.1.
4.2.
4.3.
4.4.
4.5.
6.
5.1.
5.2.
CONCLUSIONES ............................................................................................. 79
RECOMENDACIONES ..................................................................................... 81
BIBLIOGRAFA ................................................................................................. 83
APNDICES ..................................................................................................... 87
III
IV
NDICE DE ILUSTRACIONES
FIGURAS
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
TABLAS
I.
II.
VI
GLOSARIO
Base de datos
Firewall
Framework
Gateway
Gobierno de TI
soporte
VII
Granja de
servidores
Hardware
Log
Mesa de
servicio
Outsourcing
Proxy
Red
impulsos
elctricos,
ondas
electromagnticas
VIII
Router
Servidor
Sistema
operativo
Software
TI
TIC
VPN
IX
RESUMEN
XI
XII
OBJETIVOS
General
de una auditora de
Especficos
1.
2.
XIII
XIV
INTRODUCCIN
XV
1.
La
auditora
de
gestin
las
tecnologas
de
informacin
http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/HASH0155.dir/ManualAudito
Figura 1.
Fuente:http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/HASH0155.dir/Manual
AuditoriaGestionTICs.pdf. Consulta: agosto de 2013.
1.1.
http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/HASH0155.dir/ManualAudito
Objetivos especficos:
1.2.
1.3.
Definicin de trminos
informacin.
sobre
si
el
objeto
sometido
anlisis
presenta
Figura 2.
Metodologa:
la
metodologa
hace
referencia
al
conjunto
de
1.4.
1.4.1.
y tiempos subestimados en un
Adquisicin de datos
Tabla I.
Porcentaje (%)
Requerimientos incompletos
13,1
12,4
Deficiencia de recursos
10,6
Expectativas no realistas
9,9
9,3
Cambios
en
los
requerimientos
8,7
especificaciones
Deficiencia en la planeacin
8,1
Ya no se necesita ms
7,5
Deficiencia en administracin de TI
6,2
Desconocimiento en tecnologa
4,3
Otros
9,9
Fuente: www.acis.org.co/fileadmin/Articulos/Andres_Salinas.pdf.
Consulta: agosto de 2013.
El equipo
Los lderes
12
mercado,
ya
que
el
recurso
sistemtico
permite
manejar
1.4.2.
14
15
Figura 3.
Fuente: http://ocw.uoc.edu/informatica-tecnologia-ymultimedia/fundamentos-de-
16
2.
2.1.
COBIT 4.0
http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3
17
Proporciona prcticas
18
Figura 4.
19
Figura 5.
Cubo de COBIT
20
2.1.1.
Planificacin y organizacin
los
22
PO9.
PO10.
PO11.
cliente;
Administracin de
para
ello
se
realiza
una
planeacin,
implementacin
2.1.2.
Adquisicin e implementacin
23
AI2.
por
una
definicin
de
declaraciones
especficas
de
no
autorizadas
errores,
mediante
el
anlisis,
la
24
2.1.3.
necesidades
del
negocio.
25
Enfocndose
en
cumplir
con
los
26
DS13.
2.1.4.
Monitoreo y control
ME1.
ME3.
Garantizar
el
cumplimiento
regulatorio:
identifica
leyes
28
2.2.
ISO 12207
Figura 6.
Fuente: http://normasiso-iec.blogspot.com/2009/10/normas-isoiec-12207.html.
Consulta: agosto de 2013.
29
2.2.1.
Procesos principales
Los procesos principales son cinco, los cuales brindan servicio a las
partes principales durante el ciclo de vida del software. Estos son:
Adquisicin:
define las
actividades
del adquiriente, es
decir,
la
2.2.2.
Procesos de apoyo
30
31
2.2.3.
Procesos organizativos
Infraestructura:
este
proceso
resguarda
el
hardware,
software,
2.3.
ISO 17799
2.3.1.
Poltica de seguridad
Revisin y evaluacin
2.3.2.
asesora
de
expertos,
Outsourcing
2.3.3.
Clasificacin de la Informacin
33
colaboracin
entre
2.3.4.
2.3.5.
reas seguras
Controles generales
2.3.6.
Gestin de redes
34
2.3.7.
Control de accesos
2.3.8.
Controles criptogrficos
2.3.9.
Planificacin
Prueba
35
2.3.10.
Cumplimiento
2.4.
ITIL
Figura 7.
36
Niveles de servicio
37
telfono,
requerimientos
sistema
al
inicio
de
informacin
son
considerados
correo
electrnico.
incidentes;
es
Los
decir,
2.5.
Figura 8.
2.5.1.
Proceso de iniciacin
39
Figura 9.
2.5.2.
Proceso de planificacin
40
Figura 10.
2.5.3.
Proceso de ejecucin
41
Figura 11.
2.5.4.
42
Figura 12.
2.5.5.
Proceso de cierre
Este grupo de procesos, una vez completado, verifica que los procesos
definidos se completen dentro de todos los grupos de procesos para cerrar el
proyecto o una fase de l, segn corresponda, y establece formalmente que se
ha finalizado un proyecto o fase del mismo. A continuacin se muestra la grfica
de dicho proceso.
43
Figura 13.
2.6.
ISO 27001
Esta norma adopta el modelo de procesos planificar-hacer-verificaractuar, que se aplica para estructurar todos los procesos del seguridad de la
gestin de la seguridad de la informacin. Se toman como elementos de
entrada los requisitos de seguridad de la informacin y las expectativas de las
partes interesadas, y a travs de las acciones y procesos necesarios, se
producen resultados de seguridad de la informacin, que cumplen estos
requisitos y expectativas.
44
Figura 14.
http://www.ehu.es/Degypi/PMBOK/cap3PMBOOK.htm#3.1_Procesos_de_Direccin_de
_Proyectos>. Consulta: junio de 2013.
45
46
3.
3.1.
3.2.
Por ello, a pesar de que pueda haber varios estndares que den solucin
a determinada problemtica, cada uno de ellos fue creado para resolver un
matiz especfico de dicha problemtica, con un enfoque especfico y con un
nivel de granularidad distinto. El reto se encuentra en saber qu partes de cada
estndar o modelo pueden ser para cada compaa.
Figura 15.
ITIL V.3
PMI V.4
COBIT V.4.0
ESTRATEGIA
CMMI
DISEO
TRANSICIN
OPERACIN
MEJORA CONTINUA
INICIACIN
PLANIFICACIN
EJECUCIN
SEGUIMIENTO Y
CONTROL
CIERRE
RISKI
eTOM
SOA
PLANIFICACIN Y
ORGANIZACION
ADQUISICIN E
IMPLEMENTACIN
ENTREGA Y
SOPORTE
MONITOREO Y
EVALUACIN
MEJORES PRCTICAS DE TI
Fuente: http://es.scribd.com/doc/115518531/Buenas-Practicas-Gobierno-Ti.
Consulta: junio de 2013.
49
50
Figura 16.
Fuente:http://es.scribd.com/doc/115518531/Buenas-Practicas-Gobierno-Ti.
51
ITIL versus CMMI: el modelo ITIL se aplica al ciclo de vida completo de TI,
pero se enfoca en los procesos operacionales (postimplementacin de un
determinado servicio o infraestructura TI). De all proviene el gran
problema de ITIL, que no cubre adecuadamente las fases de desarrollo de
software ni la gestin de proyectos asociada a esa fase de construccin de
activos software. Por otro lado, CMMI generalmente se aplica al desarrollo
del servicio o infraestructura en TI (durante el diseo y la implantacin).
Sin embargo ambos tienen un punto comn: la gestin de la entrega.
Ambos modelos poseen actividades recomendadas para la gestin de la
entrega de nuevos elementos de software e infraestructura.
que
ambas
metodologas
no
son
excluyentes,
sino
procesos
para
garantizar
el
correcto
funcionamiento
de
la
ITIL versus COBIT: quiz sea COBIT quien ms puntos presente frente a
ITIL, aunque se presenten como complementarias. Incluso COBIT puede
que tenga mayor alcance que ITIL, ya que abarca todo el espectro de
actividades de IT, mientras que ITIL est centrado solo en service
management (gestin del servicio).
53
Por otro lado, no hay una manera nica de hacerlo; no hay recetas
mgicas para decidir qu usar y cmo usarlo, pero si hay gua y mucha
documentacin de ayuda y soporte.
3.3.
Arquitectura de la metodologa
54
Figura 17.
55
56
4.
4.1.
Enfoque a la seguridad
57
Para evaluar riesgos hay que pensar, entre otros elementos, el tipo de
informacin almacenada procesada y transmitida, la criticidad de las
aplicaciones, la tecnologa usada, el marco legal y la organizacin misma. Para
ello es necesario evaluar las vulnerabilidades que existen, ya que la cadena de
proteccin se podr romper con mayor probabilidad por los eslabones ms
dbiles, que sern los que preferentemente intentarn usar de forma no
autorizada.
58
4.2.
Enfoque a la informacin
La proteccin de los datos puede tener varios enfoques respecto de las
59
Proceso
de
los
almacenamiento;
datos:
que
controles
existan
copias
de
validacin,
suficientes,
integridad
sincronizadas
protegidas.
4.3.
Seguridad perimetral
Estructura de redes
Sistemas operativos
Infraestructura elctrica
4.4.
61
4.5.
Tipos de transacciones
62
Correo electrnico: tanto por privacidad y para evitar virus, como para que
el uso del correo sea adecuado y referido a la propia funcin, y no utilizado
para fines particulares.
Control sobre las pginas web: quin puede modificar y desde dnde;
finalmente preocupan tambin los riesgos que pueden existir en el
comercio electrnico.
63
64
5.
5.1.
participantes
de
las
actividades,
otras
diseando
los
mtodos,
procedimientos,
67
68
69
(base
legal
de
la
organizacin),
hallazgos,
observaciones,
Tabla II.
70
5.2.
Cuestionarios:
las
auditoras
informticas
se
realizan
recabando
interrogatorio.
El auditor
esta sencillez es solo aparente, tras ella debe existir una preparacin muy
elaborada y sistematizada, y que es diferente para cada caso en
particular.
72
73
74
6.
la
Figura 18.
76
El
proceso
de la infraestructura de
La administracin de identidades
forma estandarizada.
Y se mide con:
78
CONCLUSIONES
1.
2.
3.
Los estndares ayudan a definir los requisitos para una buena gestin de
la seguridad de la informacin, ya que se han concebido para garantizar la
seleccin de controles genricos, para que todo tipo de organizacin
pueda implementarlas.
4.
79
80
RECOMENDACIONES
1.
2.
3.
81
82
BIBLIOGRAFA
1.
Catlica
de
Per.
[en
lnea].
<http://www.tesislatinoamericanas.info/index.php/record/view/48709>
[Consulta: mayo de 2013].
2.
3.
4.
5.
ISACA.
Estndares.
[en
lnea].
<http://www.isaca.org/Knowledge-
Center/Standards/Pages/Standards-for-IS-Auditing-Spanish-.aspx>
[Consulta: agosto de 2013].
6.
6.
[en
lnea].
<http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/H
ASH0155.dir/ManualAuditoriaGestionTICs.pdf>[Consulta: agosto de
2013].
6.
[en
lnea].
<http://www.ehu.es/Degypi/PMBOK/cap3PMBOOK.htm>. [Consulta:
agosto de 2013].
7.
lnea].
<http://www.acis.org.co/fileadmin/Articulos/Andres_Salinas.pdf>.
[Consulta: agosto de 2013].
8.
en
las
organizaciones.
[en
lnea].
<http://www.slideshare.net/rosmelys/mejores-practicas-para-elmanejo-de-tecnologa-de-informacin-en-la-organizaciones> [Consulta:
junio de 2013].
[en
lnea].
http://albinogoncalves.files.wordpress.com/2011/03/itil-v3-2010.pdf>.
[Consulta: junio de 2013].
84
85
86
APNDICES
Apndice 1.
Apndice 1a.
Planificacin de la auditora
2. Objetivos especficos:
87
Apndice 1b.
Actividad
Tiempo asignado
Familiarizacin
2 semanas
Evaluacin preliminar de
1 semana
Control interno
Definicin de plan y programa
1 semana
de auditora
Ejecucin de auditora
1 semana
Elaboracin y presentacin de
Dos das
proyecto de informe
7. Recursos:
Apndice 2.
Programa de la auditora
Objetivos especficos:
en el anlisis de la
informacin
conexiones
registrada
en
las
bitcoras
de
-VPN-,
89
Apndice 2a.
Nm.
Trabajo a desarrollar
DESCRIPCIN
REFERENCIA
P/T
HECHO
POR
REVISADO
POR
el
control
interno
de
red
privada
virtual.
Elaborar lo siguiente:
la
familiarizacin
evaluacin
preliminar
y
de
PT.1
AUDITORES
virtual.
1
Identificar
lineamientos
evaluar
los
formales
PT.1
PT.3
Solicitar
las
reglas
del
PT.2
Analizar
concluir
PT.3
al
respecto.
90
SUPERVISOR
N
m.
DESCRIPCIN
REFERENCIA
P/T
HECHO
POR
REVISADO
POR
AUDITOR
SUPERVISOR
Evaluar
la
administracin
de
PT.2
Elaborar lo siguiente:
Solicitar
al
informtica
rea
de
listado
de
Del
listado
obtenido
de
Generar un listado de
usuarios con acceso a la
red
privada
virtual
PT.4
Revisar la existencia de
usuarios genricos y su
funcin.
Analizar
concluir
al
respecto.
91
Nm.
DESCRIPCIN
REFERENCIA
P/T
HECHO
POR
REVISADO
POR
AUDITOR
SUPERVISOR
PT.2
PT.5
privada virtual.
PT.2
registradas,
se
encuentran en el listado
de accesos autorizados
que proporcion el rea
Informtica.
Realizar consultas a las bitcoras
de base de datos, para verificar
si
los
usuarios
identificados
92
Apndice 3.
Fecha:_______________
PREGUNTAS
NO
COMENTARIOS
Objetivo:
Evaluar
los
controles
informticos
Se
cuenta
procedimientos
con
polticas,
y/o
X
GUA PARA VPN
manuales
completo
de
la
poltica,
Administracin
93
para
solicitudes de accesos
X
VPN.
NM.
PREGUNTAS
NO
COMENTARIOS
completo
poltica
de
la
norma,
procedimiento
las
actividades
que
bajas
modificacin
de
Existe
un
conector
las
entre el servidor de
VPN y el servidor de
autenticacin.
(logs)
que
permitan
revisar
En caso afirmativo:
Indicar
si
existen actividades
de
monitorear
las
actividades
94
PREGUNTAS
donde
se
tengan
NO
COMENTARIOS
a VPN-
en
Conexiones VPN
conexiones
VPN.
de conexin.
Clasificacin
informacin
de
que
la
no
es
95
Firma y sello
Apndice 4.
Requerimiento Nm. 01
Para:
De:
Auditor de sistemas
Asunto:
Requerimiento de informacin
PT. 2
Atentamente,
Auditor de sistemas.
96
Apndice 5.
PT. 3
97
PT. 4
lnea de
PT. 5
lnea de
Apndice 6.
A.
Criterios:
99
Recomendaciones:
B.
100
Apndice 6a.
No.
Usuario
Fechas en las
que realizaron
conexiones en
bitcoras
proporcionadas
Luis Fernando
Romero
18-sep-13
Mara
Luisa
Pimentel
10-oct-13
Ricardo
Morataya
12-oct-13
Criterios:
o
proteccin
adecuada
contra
accesos
no
autorizados,
C.
accesos, debe
103