SEGURIDAD Y AUDITORÍA DE SI/TI

Fecha examen: [26/10]

Contenidos
El manejo de la seguridad de los SI. Concepto de Seguridad. Políticas de seguridad.
Concepto de auditoría. Planificación de la Auditoría. Auditoría de Sistemas de Información
Auditoría de la función informática. Auditoría de sistemas de aplicación instalados.
Técnicas de evaluación y auditoría.
Objetivos
● Comprender la importancia del funcionamiento seguro de los SI/TI
● Aplicar el método de administración de riesgos
● Comprender los componentes de la auditoría informática
● Especificar un plan de auditoría informática para un objeto de audito especificado
● Investigar y aplicar herramientas para seguridad de los SI/TI.

Laboratorio
●
Practica:

Bibliografia
- ROBSON, Wendy. “Decisiones Estratégicas en Sistemas de Información II”. Tomo 5, Cap. 13: Management responsable
de IS. Colección Management Estratégico de Sistemas de Información. MP Ediciones. 2ª edición. 1999. Argentina.
- PIATTINI, Mario y DEL PESO, Emilio. “Auditoría informática: un enfoque práctico”. Editorial Alfaomega- RA-MA. 2ª
Edición ampliada y revisada. Noviembre 2006.
- LARDENT, Alberto R.. “Sistemas de Información para la Gestión Empresaria -Procedimientos, Seguridad y Auditoría”
(capitulos 20 a 29). Editorial Prentice Hall Pearson Educación. 2001. Brasil.
- ISACA. “Manual de Información Técnica para CISA”. 2001.
- ECHENIQUE GARCÍA, José Antonio. “Auditoría en Informática”. Editorial McGraw-Hill. 2ª edición. 2003. México.
- Anexos complementarios y conceptos dictados por la cátedra.
COMPLEMENTARIA:
- SOMMERVILE,Ian - Ingenieria de Software
- https://www.fundacionmapfre.org/publicaciones/centro-documentacion/?path=1009130
- https://issuu.com/dragonjar/docs/gu__a_pr__ctica_para_el_desarrollo_ (Guia Practica para el Desarrollo de
Planes de Contingencia)
- lardent - capitulo 20 a 29.pdf
INDICE

Contenidos 1

Laboratorio 1

Bibliografia 1

AMBIENTE INFORMATICO 4

PROCESOS DE CONTROL DEL AMBIENTE INFORMÁTICO 4

GESTIÓN DE LA SEGURIDAD DEL AMBIENTE INFORMÁTICO 4

Management de los SI de un modo “seguro” 4

No existen sistemas 100% seguros 5

Pérdidas resultantes de una falla: 6

Administración del riesgo 6

Etapas de la administración del riesgo. 6

MANEJO DEL RIESGO → identificar el riesgo → definición de estrategia →

implementación de linea de defensa → marco de políticas de seguridad 10

Delito informático: 11
Tipos de Ataques contra sistemas de Información 11

POLÍTICAS DE SEGURIDAD 12

AUDITORIA: 14
CONCEPTO GENERAL DE AUDITORÍA 14

Auditoría de Sistemas de Información 15

Cual es el objeto de estudio de la auditoría de SI/TI? 15
Cual es el objetivo o finalidad de la auditoría de SI/TI? 15
Control interno [ Piattini ] 15
Control Interno como Función Organizativa: 16
Objetivos del control interno 16
Comparación ente el control interno y la auditoría informática 16
Clasificaciones de Control Interno 17
Etapas de la Auditoría Informatica [Lardent] 17
Objetos (Secciones) de Auditoria Informatica [Piattini] 17
Areas de Auditoria [Lardent] 18
AUDITORÍA DE LA FUNCIÓN INFORMÁTICA 18
AUDITORÍA DE LOS SISTEMAS Y PROCEDIMIENTOS 18
AUDITORIA DEL DESARROLLO 18
AUDITORÍA DE LOS SISTEMAS INSTALADOS 18
AUDITORÍA DE LOS PROCESOS, SISTEMAS Y EQUIPOS 18
AUDITORÍA DE SEGURIDAD 18
AUDITORÍA DE LOS ASPECTOS LEGALES 19
Conceptualizar el proceso de control de SI/TI.
[buscar bibliografia]

AMBIENTE INFORMATICO
Ejemplo.

PROCESOS DE CONTROL DEL AMBIENTE INFORMÁTICO

Conjunto conformado por los procesos de seguridad, auditoría y control, aplicados al
área de SI y sus recursos así como todos los sectores asociados al procesamiento de la
información de la organización.

¿Por qué se “controla” el ambiente informático?

PARTE I. SEGURIDAD EN EL AMBIENTE INFORMÁTICO.

GESTIÓN DE LA SEGURIDAD DEL AMBIENTE INFORMÁTICO

La gestión (o management) de la seguridad del ambiente informático consiste en la
administración de los SI/TI de un modo seguro, este funcionamiento seguro se basa en
3 premisas que tienen cada una un eje principal (Robson)

Management de los SI de un modo “seguro”

➔ TÉCNICO → Seguros desde el punto de vista organizacional (claves, antivirus,
planes de contingencia)
 ➔ ÉTICO → Seguros desde el punto de vista social (venta de datos)
➔ LEGAL → Seguros desde el punto de vista judicial (hay pautas, normas, leyes a
cumplir)
Al administrar la seguridad de los si/ti se debe tener en cuenta aspectos técnicos, eticos y
legales. por ej Siempre que hago algo con las bases de datos tengo que tener en cuenta si
estoy protegiendo la información en lo técnico, ético y legal

No existen sistemas 100% seguros

LA SEGURIDAD TOTAL ES IMPOSIBLE. Nunca se alcanza 100% de seguridad, se logra un
nivel razonable de seguridad
Más control de riesgo tengo, más sensación de seguridad hay

Entonces en realidad lo que administro no es la seguridad, sino el riesgo, ya que es

inherente a los SI/TI

La seguridad es una propiedad emergente de un entorno

informático correctamente definido y administrado

El problema en seguridad informática es que es difícil definir los objetivos y lógica a seguir
de los ataques para establecer las líneas de defensa → por lo que apostamos al mejor
manejo de riesgo posible

Desde el punto de vista técnico, Al hablar de gestionar la seguridad siempre se debe cuidar
3 aspectos:
● Integridad de la información
● Operatividad o disposición de los recursos
● Confidencialidad

¿Qué es la pérdida de seguridad?. Cuando esta ocurre, ¿cuáles son los aspectos involucrados?
La pérdida de seguridad es cuando falla algún elemento que impide que el sistema
informático brinde los servicios sobre los cuales se basa la operatoria organizacional. Falla
de los elementos de un SI para realizar la funcion, o brindar servicio/s, para los cuales esta
destinado.
Falla es la pérdida de alguno de los aspectos en los que se basa la gestión de la seguridad
(integridad, operatividad, confidencialidad → van de la mano). Estos provocan pérdidas
empresariales.
Pérdidas resultantes de una falla:

Administración del riesgo

Busca el equilibrio entre los costos resultantes de una falla y los costos resultantes de las
medidas necesarias para aumentar la seguridad.

¿Cómo se relaciona con la seguridad este concepto?

¿Que es el riesgo?

Es el potencial de que una amenaza determinada explote las vulnerabilidades de un

activo o grupo de activos ocasionando su pérdida o daño (ISACA)

Activos → HW, SW, Datos e info, Capacidad de procesamiento, Personal, Fondos

Robson propone una serie de 4 etapas en la administración del riesgo:

Etapas de la administración del riesgo.

1) Identificación del riesgo

Es importante conocer donde está ubicado el riesgo (!)
Consiste en encontrar los puntos débiles, es decir, todo aquello a lo que está
potencialmente expuesto el SI:
a) Fuentes de amenazas potenciales
Tipos de amenazas:

b) Activos que son vulnerables a la pérdida

c) Ubicación de esos riesgos

Cuando identifico el riesgo lo que busco son los puntos débiles, porque son los más
susceptibles a daños, son las vulnerabilidades del Sistema Informático

Es importante identificar el tipo de amenaza: porque de eso depende como va

actuar esa amenaza, por donde va a entrar, qué comportamiento va a tener, y de
esto depende el manejo del riesgo que debo hacer: estrategias.
Si mi política es renovación mensual de claves → después tengo que ver como la
implementó
Ataques Pasivos y Activos
en un ataque pasivo el atributo principal es la confidencialidad.
 2) Análisis del riesgo
Recordando que el riesgo es el potencial, es decir una probabilidad, de que una
amenaza ataque las vulnerabilidades del Sistema Informático
Consiste en analizar el impacto potencial para determinar la pérdida esperada
producida por una amenaza particular. Por cada probabilidad de riesgo, tengo una
pérdida esperada producida por la amenaza.
Pérdida esperada = Pérdida potencial ($) x Frecuencia de pérdida
Frecuencia de pérdida = Probabilidad de agresión x Probabilidad de éxito
Todo esto debe expresarse en términos monetarios
por ej: si me roban la bd de clientes morosos. puedo estimar la deuda promedio que se ha
perdido registro → en esto nos danaria en términos monetarios monetafede

Recordando que la pérdida se refiere a uno de los 3 aspectos:

- Integridad
- Operatividad
- Confidencialidad

Clasificación de Amenaza Tipo de Ataque

AMENAZA
Fisica | Logica Accidental | Deliberada Pasivo | Activo

3) Manejo del riesgo

Consiste en la aplicación de controles y contra medidas apropiadas para el riesgo
de acuerdo con el tiempo, el dinero y otras restricciones. Buscar el control mas
efectivo dentro de las limitaciones existentes.
- Definir el mejor método de manejo de riesgo → implementación de
las estrategias de manejo de riesgo → implementacion de las lineas
de defensa → definicion de politicas de seguridad
Estrategias:
- Prevenir el riesgo
Estrategias y medidas que apuntan a disminuir la ocurrencia del riesgo lo más
posible
- Reducir el Riesgo
Si ocurre, tratar de que el impacto del riesgo sea el menor posible.
por ejemplo, si somos admin de RR del lab de informática, y sabemos que en verano
secheep nos va a cortar la luz, intentamos poner tantos estabilizadores como permita
el presupuesto, no podrán ser en todas pero al menos en las mejores máquinas y más
nuevas.
- Transferir el riesgo
Que un tercero asuma el impacto, o parte, del riesgo.
por ejemplo: como admin de RR del lab de informática, tenemos seguros contra el
robo o destrucción de las máquinas.
- Asumir el riesgo
Cuándo implementar contramedidas es más costoso que el impacto de la
ocurrencia del riesgo.
siguiendo el lab de informática: seguro seguro que un par de mouse me roban, no les
pongo un airtag a cada uno, veo de poner unos precintos y fue.

Controles y contra medidas

Los factores determinantes en los SI son: Plataforma de HW, Grado de
distribución, Integración de la infraestructura
LINEAS DE DEFENSA
Se clasifican en 3 niveles, y existen herramientas para implementar cada una en los
Sistemas Informáticos
➔ PREVENTIVA → 1ra línea de defensa
◆ antivirus
pero, las rejas se saltan..
➔ DETECCIÓN → 2da linea de defensa
Una vez que el daño ya está hecho, primero debemos comprenderlo, identificarlo para
luego intentar que se propague lo menos posible.

➔ RECUPERACIÓN → 3ra línea de defensa

Una vez que el daño ya está hecho, tener mecanismos de recuperación. Si atacaron la
BD y se borraron registros, tengo un backup de los datos.
El mayor desafío al establecer las líneas de defensa, está en la dificultad de
identificar los objetivos y lógica de los ataques que pueden sufrir los SI.
MANEJO DEL RIESGO → identificar el riesgo → definición de estrategia →
implementación de linea de defensa → marco de políticas de seguridad
ADEMÁS DENTRO DEL MANEJO DEL RIESGO DEBEMOS CONSIDERAR LAS POLÍTICAS DE
SEGURIDAD
Las políticas de seguridad también son preventivas
Son un montón de requisitos que tengo que implementar para poder decirle a la gente que
voy a permitir y que no a efectos de manejar el riesgo

4) Recuperación del desastre

Bibliografia:Larden
Es la definición de planes que permitan que la organización pueda continuar con sus
funciones y operaciones luego de que ocurra un desastre.Debe estar claramente
identificado los pasos del plan, responsables de cada paso y resultados esperados.
Incluye la definición de procesos que constituyen una metodología para la recuperación
de desastres.
Larden dice cual es la criticidad de los sistemas → puedo ver si pueden estar
paralizados, que se puede mantener manualmente y en base a eso hago la recuperación

Empieza a jugar el tiempo de inhabilitación, grado de respaldo y mantenimiento, tiempo de

reinstalación de sistemas, tolerancia de sistema a fallas y caídas
NIVELES DE EMERGENCIA:
1. Catastrofe
2. Desastre
3. No-Desastre

Planes de Contingencia
 1. Determinación del orden de prioridades en materia de recuperación de
aplicaciones, SW de base ya archivos de datos
2. Formulación de un detalle
3. Mecanismos de acoplamiento a los sistemas manuales durante las interrupciones
cortas
4. Sedes Remotas
5. Disponibilidad de hardware alternativo
a. Centros de propiedad de la empresa
b. Centros en cada sede: Hor sites - Warm sites - Cold Sites
6. Disponibilidad de las telecomunicaciones
7. Disponibilidad de una sede alternativa para resguardo de dispositivos de
almacenamiento y documentación
Metodologías de Recuperación:Conjunto de pasos a seguir en situaciones de
emergencia.

Delito informático:
¿Quienes son los artífices del mismo y con qué modalidad operan?.

Tipos de Ataques contra sistemas de Información

violacion de seguridad → contra confidencialidad, integridad, disponibilidad o uso legítimo
Un ataque no es más que la realización de una amenaza
Durante el análisis del riesgo y la definición de politicas de seguridad se han identificado
las amenazas que han de ser contrarrestadas, aplicación de controles y contra medidas.
Dependiendo del diseñador del sistema de seguridad, se especifican los servicios y
mecanismos de seguridad necesarios

Clasificación:
● Interrupción : Consiste en un ataque donde uno o más recursos del sistema son
destruidos o se vuelven no disponibles. Este era un ataque contra el aspecto
técnico de disponibilidad del sistema. Ejemplo: destrucción de un dispositivo d
eHW, cortar una linea de comunicación, deshabilitar el sistema de gestión de
ficheros, ataque DDoS
● Intersección: Entidad no autorizada (persona, maquina, programa) consigue
acceso a un recurso. Es un ataque contra la confidencialidad
 ● Modificación: Entidad no autorizada no sólo consigue acceder al recurso, sino que
es capaz de manipularlo. El aspecto vulnerado es la integridad
● Fabricación Entidad no autorizada, inserta objetos falsificados en el sistema. Es un
ataque contra la autenticidad

1. Ataques Pasivos
Son aquellos donde el atacante NO altera la comunicación, solo escucha o monitoriza,
para obtener información que está siendo transmitida. (hablamos de redes normalment)
Sus objetivos son la intercepción de datos y el análisis de tráfico
ejemplos de medidas contra ataques pasivos: cifrado de la información, protocolos de
seguridad de red
2. Ataques Activos
Estos ataques implican algún tipo de modificación del flujo de datos transmitido, o la
creación de falsos datos.
Los ataques activos se sub-dividen en 4 categorías:
a. Suplantación de Identidad: Atacante se hace pasar por entidad diferente,
suele incluir alguna otra forma del ataque activo.
b. Reactuación: uno o más mensajes legítimos son capturados y repetidos
para producir un efecto no deseado. ejemplo: repetir una transacción de
transferencia de dinero a una cuenta
c. Modificación de mensajes: mensaje legítimo acelerado, o retardado o
reordenado. ejemplo: “Enviar dinero a una cuenta A” Cambiado por “Enviar
dinero a una cuenta B”.
d. Degradación fraudulenta del servicio: Inhibir el uso normal del servicio o la
gestión de recursos informáticos y de comunicaciones. ejemplo: inundar una
red con mensajes espurios, interrumpiendo su servicio

POLÍTICAS DE SEGURIDAD

Conjunto de requisitos definidos por los responsables directos o indirectos de un sistema

que indica , en términos generales, que esta y que no está permitido en el ares de
seguridad durante la operación general de dicho sistema

Como hablamos de términos generales, nos referimos a las políticas generales de

seguridad [1]. Aplicables a situaciones o recursos muy diversos, suele ser necesario
refinar los requisitos de la política para convertirlos en indicaciones precisas de que es lo
permitido y lo denegado en cierta parte de la operación del sistema, lo que se denomina
política de aplicación específica [1.1]
Son distintas a las políticas organizacionales o relacionadas al management, éstas suelen
expresar normas más estrictas.

Tenemos dos tipos de políticas diferenciadas por su redacción

Según el estilo predominante en las políticas de seguridad, tengo un entorno informático

más flexible y libre o controlado y estructurado.
- Políticas permisivas: Todo lo que no esta expresamente prohibido, está permitido
- Políticas prohibitivas: Lo que no está expresamente permitido está prohibido
Para cubrir de forma adecuada los aspectos de la seguridad de un sistema informatico,
una política se suele dividir en puntos as concretos, llamados normativas o reglas.

Elementos claves en la seguridad de un sistema informático

● Disponibilidad
Es necesario garantizar que los recursos del sistema se encontrarán disponibles
cunado se necesiten, especialmente la información crítica
● Utilidad
Los recursos del sistema, y la información manejada en el mismo, ha de ser util para
alguna función
● Integridad
La información del sistema ha de estar disponible tal y como se almacenó por un
agente autorizado
● Autenticidad
El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios
del sistema
● Confidencialidad
La información solo ha de estar disponible para agentes autorizados,
especialmente el propietario
● Posesion
Los propietarios de un sistema han de ser capaces de controlarlos en todo
momento, perder este control en favor de un uso malicioso compromete la
seguridad del sistema hacia los otros usuarios

PARTE II. AUDITORÍA EN EL AMBIENTE INFORMÁTICO.

AUDITORIA:
Es una evaluación cada cierto tiempo para ver que todo funciona tal cual fue indicado.
Determina si una realidad que estamos observando se corresponde con las expectativas que
le son atribuidas → fiabilidad

CONCEPTO GENERAL DE AUDITORÍA

CONTENIDO Una opinión

CONDICIÓN Profesional

JUSTIFICACIÓN Sustentada en determinados procedimientos

OBJETO Una determinada información obtenida en un cierto soporte

FINALIDAD Determinar si presenta adecuadamente la realidad o estará responde a

las expectativas que le son atribuidas, es decir, su fiabilidad

Al final del dia, la auditoría es una opinión profesional

-> conceptos clave:
La auditoría es una evaluación, que debe ser realizada por un experto en auditoría. Dentro
de la auditoría siempre se emiten opiniones de cómo está funcionando y sugerencias de
puntos de mejora.
La auditoría es un proceso sistemático → debe tener un orden

Auditoría de Sistemas de Información

Revisión sistemática organizada de los sistemas de información en funcionamiento para
 ver si en ellos se verifican las propiedades:

→ Vigencia de los objetivos planteados como base del diseño original

→ Concordancia del sistema con los objetivos (Efectividad)

→ Permanencia del disenio por no haber sufrido alteraciones que lo degradaran

operativamente

→ Eficiencia del Sistema

Cual es el objeto de estudio de la auditoría de SI/TI?

- Recursos SI/TI
- Función de SI → Area de Sistemas
- Esquema de Management de Recursos SI (ROL - ORGANIZACION - UBICACIÓN)
- Planificación Estratégica de SI/TI → Aplicaciones y Proyectos
- Almacenamiento de datos - Tratamiento de la Información
- Planes de Contingencia

Cual es el objetivo o finalidad de la auditoría de SI/TI?

- Operatividad efectiva y segura, según las normas establecidas (normas internas o
externas, estándares de calidad)
Aspectos Clave de la Auditoría de Sistemas de Información

Control interno [ Piattini ]

Cualquier actividad o accion realizada manual y/o automáticamente para prevenir,

corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema
para lograr o conseguir sus objetivos

previa y base de la auditoría

El control es una de las funciones administrativas básicas
[organizar-planificar-dirigir-controlar], por lo que es un proceso interno del área de SI.

El control interno tiene la finalidad de asegurarse que las medidas implementadas por
cada responsable sean correctas y válidas
Control Interno como Función Organizativa:
Controlar diariamente que todas las actividades de los SI/TI sean realizadas cumpliendo
los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la
dirección Informática. así como en cumplimiento con los requerimientos legales

Objetivos del control interno

➔ Controlar que todas las actividades se efectúan de acuerdo con los
procedimientos y normas fijados
➔ Asesorar sobre el conocimiento y aplicación de las normas
➔ Colaborar con las Auditorías Informáticas, tanto internas como externas
➔ Intervenir en la definición, implementación y ejecución de mecanismos y
controles para comprobar el logro de los niveles de servicios adecuados ( No es
solo responsabilidad del área de Control Interno Informático, es una responsabilidad
de línea → por ej El área de calidad de sw puede ser un área y el control interno
informativo otra, pero trabajan en conjunto)
Es la base de la auditoría → Cuando un profesional lleve a cabo la auditoría
informática, primero preguntará que controló el control interno, que mecanismos hay
implementados y a que normas y estándares corresponden

Comparación ente el control interno y la auditoría informática

CONTROL INTERNO INFORMATICO AUDITOR INFORMATICO

Similitudes Personal Interno: Conocimientos especializados en TI , verificación de

cumplimiento de controles internos, normativa y procedimientos
establecidos por la dirección informática y la dirección general para los
sistemas de información

Diferencias ● Análisis de los controles en ● Análisis de un momento

el dia dia informático determinado
● Informa a la dirección del ● Informa a la dirección
área de SI general de la organización
● Solo compuesto por ● Personal interno y/o
personal interno de la externo
organización ● Tiene cobertura sobre
● El alcance de sus funciones todos los componentes de
es únicamente sobre el los SI de la Organización
Departamento de ● alcance a nivel
Informática organización
Clasificaciones de Control Interno
● Controles preventivos
● Controles detectivos
● Controles correctivos

PREVENTIVOS DETECTIVOS CORRECTIVOS

Finalidad Tratar de evitar un Tratar de hacer conocer Facilitan la tarea de

hecho el hecho, cuando han restablecer la normalidad
fallado los controles del funcionamiento cuando
preventivos se han producido
incidencias y/o fallas
recuperación del desastre

Ejemplo SW de seguridad Registro de intentos de Recuperación de una BD

que impida los accesos no autorizados dañada a partir de las copias
accesos no de seguridad
autorizados a Registro de la actividad
sistemas diaria para detectar
errores u omisiones

AUDITORIA INFORMATICA:
Tipos de Auditoria

→ Interna
Existe un área de la organización de auditoría interna.
objetivo: evaluar el control interno y reportar a gerencia cuando algo no funcione
Asesora al control interno, idealmente para asegurarse que definan mecanismos y
controles que dejen pistas de auditoría.
[buscar en lardent]

→ Externa
Es un examen crítico, sistemático y profundo del sistema de información completo como
si fuese una unidad económica.
Se evalúa el procesamiento de la información y el entorno informático como si tuviera un
impacto económico de la organización, ya que de hecho lo tiene. Entonces, tiene que venir
alguien de afuera, experto además, y decirnos cómo está funcionando nuestro sistema.
Se basa en auditoría interna, pero va más allá. Se basa en los informes
de la auditoría interna y control interno, pero además al ser externo,
incorpora mecanismos que superan al control interno.
Lardent dice que el auditor externo da fe pública

Debe verificar que el ambiente informático y los SI funcionan según su objetivo inicial,que
no han sido degradadas, que generan información confiable
La auditoría interna informa al gerente y la externa se basa en la interna y tiene en
cuenta también otras cosas (cosas que superan el control interno)
ej: mercadolibre: asegurarse que el proceso de compra es seguro en cada paso, que no
soy susceptible a estafas, esto es claramente más confiable si lo dice un tercero y no
mercadolivre q tiene un interes economico.. qué tan segura puedo estar de que el auditor
interno me dirá si aca no hay peligro de desviamiento de fondos

Etapas de la Auditoría Informática [Lardent]

Objetos (Secciones) de Auditoria Informatica [Piattini]

objetos de auditoría → que puedo auditar | este es un término de Piattini
Lardent se refiere a ello como áreas de auditoría
son dos clasificaciones diferentes, pero la de lardent se la puede complementar las áreas
con los objetos específicos a auditar en cada una

Areas de Auditoria [Lardent]

Áreas a evaluar por auditores:
1. Evaluación de la Funcion Informatica (Organizacion y Administracion del Ambiente
Informático) → como unidad organizativa → estructura, planes, proyectos,
personas y procesos.
2. Evaluación de los Sistemas y Procedimientos
a. Auditoria del Desarrollo
b. Auditoria de Sistemas Instalados
3. Evaluación del proceso de los sistemas y equipos
4. Evaluación de la Seguridad
5. Evaluación de los aspectos legales de los sistemas y de la información
—---------------------------------------------------------------------
b) Qué significa el Principio de Separación/segregacion de Funciones.
El principio de separación de funciones se basa en delimitar las responsabilidades,
tareas y funciones de cada cargo, a través de la definición de cada una de las tareas
que tendrá cada cargo.

AUDITORÍA DE LA FUNCIÓN INFORMÁTICA

AUDITORÍA DE LOS SISTEMAS Y PROCEDIMIENTOS

AUDITORIA DEL DESARROLLO

AUDITORÍA DE LOS SISTEMAS INSTALADOS

AUDITORÍA DE LOS PROCESOS, SISTEMAS Y EQUIPOS

AUDITORÍA DE SEGURIDAD
Comportamiento de los mecanismos de defensa

confidencialidad de la info
integridad info
evaluar políticas y procedimientos

consideraciones:
en la política de seguridad tener cuenta la clasificación de activos y medidas de protección
ubicación del sistema
pentesting → análisis de dispositivos físicas y digitales, hasta ingenieria social
resultado: informe de auditoría

puntos a auditar:
mantenimiento de seguridad
acciones correctivas que corresponde a aemprender casos de detectarse intentos de
violacion contra la seguridad
aseguramiento de que los datos se enceuntran encriptados segun sea necesario
AUDITORÍA DE LOS ASPECTOS LEGALES

Riesgos del Auditor

Es susceptible a tres tipos de riesgo

→ inherente
por ejemplo no contemplar la estructura de la organización y aspectos de administracion. O
el riesgo inherente de ser externo de no conocer el ámbito que voy a auditar
→ corro el riesgo inherentemente. Ignoro algo porque no tenía conocimiento, por
eso la importancia de la especialización de los auditores y el remarcar su carácter de
-experto- y -profesional-

→ de control
por ejemplo: no tener mecanismos de evaluación de riesgo
Es atribuible al control interno → algo que el control no hace y el auditor externo se le
pasa por alto por la cantidad de controles que tiene que hacer

→ de detección
habla de las pruebas del sistema → riesgos de trazabilidad
atribuible al diseño de las pruebas y procedimientos a seguir
Grado de experiencia del auditor al armar las pruebas, que grado de comprensión de la
metodología, cuan bien planifico la auditoria, si eligió un buen equipo de auditores
auxiliares

Deontologia del Auditor

deontologia: conjunto de principios éticos que rigen a la profesion

La ética profesional o deontología profesional (del griego δέον 'debido' + λόγος 'tratado',
término introducido por Jeremy Bentham en su Deontology or the Science of Morality,
Deontología o ciencia de la moralidad, 1834) es la rama de la ética aplicada cuyo propósito
es establecer los deberes de quienes ejercen una profesión.

Tipos de prueba que se requieren en la Auditoría de SI

Para cada área de Auditoría:
 a. Concepto
b. Funciones del Auditor
c. Síntesis de los elementos a auditar

¿Por qué se habla de desarrollo y mantenimiento de los RRHH y no de los SI?.

Respecto del riesgo de la auditoría desde el punto de vista de la tarea del auditor
debe entenderse como la posibilidad de que el auditor de SI/TI puede no detectar
un error que ha ocurrido. Así, los riesgos pueden tipificarse como:

Riesgo de Es el riesgo de que un error material, debido a una deficiente

detección planificación y/o ejecución de la auditoría, sea tanto en la
evaluación y categorización de los riesgos, como en la selección
y/o aplicación de los procedimientos de prueba adecuado, Es del
ámbito y tarea exclusiva del auditor

Riesgo de control Es el riesgo de que un error material no pueda ser evitado o

detectado , fallas o irregularidades en forma oportuna por
deficiencias en el sistema de control interno. Está fuera de poder
ser controlado por el auditor como para poder eliminarlo, pero sus
recomendaciones deben contribuir a reducirlo

Riesgo inherente Es aquel riesgo que se produzca un error material debido a la

propia actividad del ente, o del sistema de información o sus
tecnologías, su naturaleza, estructura, actividad, magnitud, etc.
Está fuera de poder ser controlado por el auditor como para
poder eliminarlo
A los fines de que tipo de prueba corresponde cada una de estas situaciones?

Se procesa un lote de muestra de 15 SUSTANTIVA

empleados de igual categoría y antigüedad
similar para obtener la liquidación de
haberes del mes de Septiembre

El auditor principal entrevista al DE CUMPLIMIENTO

programador sobre las funciones que
cumple actualmente

El auditor verifica los tipos de permisos DE CUMPLIMIENTO

que tienen los empleados de control de
clandestinos respecto de la planilla de
pedido de alta de usuarios firmada por el
Gerente de la Sucursal

Los datos de calificaciones 300 alumnos SUSTANTIVA

se procesan en un sistema diferente al
SYSACAD pero de procedimiento
homologado por Rectorado, para obtener
mediante ambos los promedios generales

El control correctivo Restablecer la normalidad del funcionamiento cuando se han

tiene por objetivo producido incidencias y/o fallas

El control preventivo Tratar de evitar un hecho

tiene por objetivo

El control detectivo Tratar de hacer conocer el hecho, cuando han fallado los
tiene por objetivo controles preventivos

i) Aspectos de la administración segura [frases del texto]

● Organizacional - técnico: tiene que ver con cosas más técnicas como claves y
eso
○ El descubrimiento del fallo lo efectuó un grupo de investigadores de la
Universidad de Cardiff, quienes encontraron que cualquier persona podía
aprovecharse de los agujeros en la red del banco para acceder a
cualquier cuenta con sólo nueve intentos.
 ○ Si alguien consigue automatizar este proceso, podría utilizar esta
información de diversas maneras. En mi opinión, esto es muy posible que
ocurra y, lo que es peor, es que el fallo es increíblemente fácil de arreglar
● Social - ético y estético
○ el HSBC minimizó ayer el impacto del error, al que se refirió como «un
supuesto fallo» y subrayó que es uno de los bancos que menos fraude
informático sufre.
● Judicial - Legal
○ El negocio de los bancos es cuidar de nuestro dinero, y si ellos dicen que
algo es seguro, uno asume que lo es. Pero mientras estos fallos existan,
los consumidores están en peligro. Para los bancos y las instituciones
que reciben grandes cantidades de dinero de sus usuarios no prestarles
protección es muy escandaloso

ii)

1. Identificación del riesgo

Vulnerabilidad: debilidad existente en un sistema que puede ser utilizada por una
persona malintencionada para comprometer su seguridad.
- Agujero de seguridad en el sistema en línea del HSBC
Amenaza: todo lo que me pueda explotar mi vulnerabilidad
- Uso de keyloggers -programas o virus que registran automáticamente cuáles
son las teclas que se están pulsando en un ordenador-
- Es logica y deliberada
Riesgos: probabilidad que suceda la amenaza
- Probabilidad de utilizar herramientas que permitan loguear los movimientos de
los usuarios y de esta manera realizar un ataque que en menos de 9 intentos
debería perpetrar la seguridad de la cuenta
Activos vulnerables
- información confidencial de los clientes
- Dinero de los clientes

2. análisis del riesgo

Perdida esperada = perdida potencial * frecuencia de la perdida
Frecuencia de la perdida = probabilidad agresión prospere * prob exito agresion
riesgo: Probabilidad de utilizar herramientas que permitan loguear los movimientos de
los usuarios y de esta manera realizar un ataque que en menos de 9 intentos debería
perpetrar la seguridad de la cuenta

Activo Cantidad Valor Unitario Pérdida potencial

Datos de clientes

Dinero de clientes
Rangos de probabilidad
● muy alta
● alta
● media
● baja
Riesgo Prob agresión Prob éxito Frecuencia Pérdida
esperada

Uso de 90%[moyalta] 80%

Keyloggers

Consecuencias
Primarias Secundarias

- Pérdida de datos confidenciales - Pérdida de credibilidad

de los clientes - bad image
- Movimientos no deseados en la
cuenta de los clientes
- Pérdidas de activos financieros

3. manejo del riesgo

asumir transferir reducir prevenir

Se opta por prevenir el riesgo a partir de que la organización trata a partir de medidas y
contramedida establecidas como primera línea de defensa, mermar todo tipo de
probabilidad de que la vulnerabilidad sea explotada
Riesgo Líneas de defensa Contramedida

Probabilidad de Prevenir [1era Línea] - Usar autenticación

utilizar herramientas multifactor (MFA)
que permitan - Solicitar token para
realizar cualquier
loguear los
transacción
movimientos de los
- No se puede acceder a la
usuarios y de esta cuenta desde una red
manera realizar un publica
ataque que en - Se suministrará una
menos de 9 intentos cantidad maxima de
debería perpetrar la intentos para ingresar
seguridad de la Detectar [2da Línea] - Se enviara un correo en
cuenta que caso de inicio de
sesion en un lugar
desconocido
- Se mantendra un registro
de eventos del usuario
mandando un correo en el
caso de un movimiento
anomalo

Recuperación [3ra NO
Línea]

Politicas:
● Politica de acceso a la cuenta online:
○ Se deberá utilizar autenticación multifactor para acceder a una cuenta
[PROHI]
○ El máximo de intentos permitidos para ingresar a una cuenta es de 5
[PROHI]
● Politica de registro de eventos de usuarios:
○ Todos los accesos y movimientos de dinero de las cuentas de los
usuarios deben ser registrados de manera detallada.

iii) La auditoría que se podría efectuar además de la de seguridad, es la de procesos de

datos ya que se encarga de analizar y evaluar las operaciones para verificar si hay una
adecuada separación de tareas, asi como el flujo de los procesos, sus entradas y
salidas de los mismos, verificando que haya consistencia. Tambien se podria efectuar
la de sistemas instalados para evaluar los controles incorporados a las aplicaciones
detectando debilidades y amenazas de estos.

1. Identificación del riesgo.

Activos Vulnerables
● Datos e información de los clientes que forman parte del banco, como ser contraseñas,
datos personales, cuentas bancarias, claves bancarias, etc.
● Dinero del cliente depositado en su cuenta

Vulnerabilidades:
El agujero de seguridad en el sistema en línea del HSBC
Fallo en los protocolos de seguridad debido a los agujeros en el sistema en línea del banco.

Amenazas:
Obtención de claves bancarias
Ciberataques a cuentas de usuarios
Movimientos bancarios no deseados y/o autorizados por personas ajenas a la cuenta bancaria.
Acceso a las cuentas de los usuarios mediante keyloggers.

Tipo de todas las amenazas: Lógico, deliberado y activo.

Riesgo:
- Existe la X probabilidad de obtener las claves bancarias de los clientes del banco y
obtenga los datos e información de los clientes debido a el fallo en los protocolos de
seguridad por los agujeros en el sistema en línea del banco.
- Existe la X probabilidad de tener movimientos bancarios no deseados por personas
ajenas a la cuenta y así correr peligro el dinero del cliente dueño de la cuenta debido a
la falla en los protocolos de seguridad debido a los agujeros en el sistema en linea del
banco.
- La X probabilidad de que se hagan movimientos bancarios no deseados y/o autorizados
por personas ajenas a la cuenta bancaria debido a alguna falla en los protocolos de
seguridad por los agujeros en el sistema del banco causando una
- La probabilidad que se encripten los datos de los equipos de trabajo de los empleados,
por un malware que explota un agujero en la seguridad de ciertas versiones del sistema
operativo Windows y por la inexistencia de un firewall eficaz que evite la propagación
del virus a través de la red.
 - Existe una X probabilidad de que personas no autorizadas obtengan la contraseña de
acceso de una red inalámbrica (amenaza), ingrese a la red y tenga acceso a (n) los
datos e información corporativa (activo) debido a la falla del protocolo WP2 en
routers inalámbricos (vulnerabilidad).
-

2. Análisis del riesgo.

Riesgo: Existe la X probabilidad de tener movimientos bancarios no deseados por personas

ajenas a la cuenta y así correr peligro el dinero del cliente dueño de la cuenta debido a la falla
en los protocolos de seguridad debido a los agujeros en el sistema en línea del banco.

Consecuencia primaria. perdida de dinero asociada a las cuentas de clientes del banco.
Consecuencia secundaria. pérdida de confianza de los clientes e inversores para con el
banco.

Cantidad de clientes del banco 125 millones, suponiendo que cada cliente tiene en su cuenta
un promedio de $20.000 dólares y que en caso de que el banco se haga cargo de la devolución
del 100% del dinero robado, la pérdida potencial es de.
Perdida potencial = 4.000.000.000 * 20.000 = 80.000.000.000.000 de dólares

Rango de probabilidades.

Rango de probabilidades

Baja 0% a 25%

Intermedia 26% a 50%

Alta 51% a 85%

Muy Alta 86% a 100%

Pérdida
Prob. Prob. Frecuencia Pérdida
Riesgo Esperada
Agresión Éxito de Pérdida Potencial ($)
($)
 movimientos
bancarios no
deseados por Baja Muy Alta 6.880.000.00
8,6% 80 millones
personas 10% 86% 0.000
ajenas a la
cuenta

Probabilidad de agresión de un 10%, si bien este ataque está sucio en el banco HSBC, la
probabilidad de que esto ocurra es baja ya que es una institución que se especializa en la
seguridad del dinero de terceros.
Probabilidad de éxito es muy alto, de un 86% ya que una vez accedido a los datos personales
del usuario del banco o a su cuenta bancaria se puede transferir todo el dinero disponible.

3. manejo del riesgo.

Estrategias para el manejo del riesgo

1 Prevenir el riesgo
2 Asumir el riesgo
3 Reducir el riesgo
4 Transferir el riesgo

Contramedidas.
1 línea de defensa. Prevención.
2 línea de defensa. Detección.
3 línea de defensa. Recuperación.

Línea de
Riesgos Contramedida
defensa

Existe la X
- Se solicitará una clave token para cada
probabilidad de
movimiento de dinero que se desea hacer de
tener una cuenta personal o otra externa.
movimientos
Primera línea.
bancarios no - Imposibilidad de conectarse con dispositivos
Prevención
deseados por al home banking mediante una red pública.
personas ajenas
a la cuenta y así - Implementación de cambio de clave y pin
cada 6 meses.
correr peligro el
 dinero del
cliente dueño de
la cuenta debido
a la falla en los
protocolos de
seguridad
debido a los
agujeros en el
sistema en línea
del banco.

- Se enviará un correo electrónico luego de

Segunda
hacer la transferencia a una cuenta de un
línea de
tercero con la posibilidad de una
defensa.
comunicación directa con el banco en caso de
Detección.
ser falsa.

POLÍTICA.
Todos los accesos y movimientos de dinero de las cuentas de los usuarios deben ser registrados de
manera detallada. PROHIBITIVA.

iii) Se llevaría a cabo una auditoría de sistemas instalados, teniendo aspectos como.
Sistemas de home banking.
Sistemas de generación de claves token
Sistemas de cambio de contraseña

-----------
. Identificar 3 vulnerabilidades de la dirección de TICs.
● el hw de los servidores se encuentra fisico en una sala de facil acceso
● La sala de informática no cuenta con detectores de humo
● No se cuenta con un regulador de tension
●

2. Laboratorio. Servicio de Seguridad de Conexión. SSH.

i) que linea de defensa es → preventiva
ii) que activo resguarda → informacion
iii) de que amenazas → acceso no deseado o malicioso

Qué aspectos se deben tener en cuenta para el management de los SI de un modo “seguro”.
 Explique cada uno y de ejemplos.
Los aspectos que se deben tener en cuenta para un management seguro de los SI, es
que los SI tiene n que ser seguros
● desde el punto de vista organizacional, siendo seguros tecnicamente, contando con
antivirus,claves
● desde el punto de vista social, siendo seguros éticamente, como por ej que no se
produzca la venta de datos o se infringe la confidencialidad
● desde el punto de vista judicial, que estén alineados a normas y leyes
b) Cuáles son los tipos de políticas de seguridad. Explique cada uno y de ejemplos
Las politicas son lineamientos para la toma de decisiones, son requirsitos definidos por los
responsables que indica en término generales que esta permitido o no hacer. Actuan como
forma de prevencion ya que si no las cumplis sabes que algo malo va a pasar.
Las politicas pueden ser
● prohibitivas: todo lo que no esta escrito esta probihido
● permisivas: todo lo que no esta escrito esta permitido [ escribo lo que quiero prohibir]
Ademas en la definicion de politicas comenzamos definiendo politicas generales, pero al
refinarse mas en situaciones o recursos es necesario definir politicas mas especificas apra cada
caso
1. Ambiente informático es el conjunto de elementos conformado por la seguridad,
auditoría y controles aplicados al área de SI, sus recursos y todos los sectores
asociados al procesamiento de información. Por ejemplo: estaciones de trabajo,
servidores, SI que utiliza la organización.
2. El control interno es una actividad manual o automática que se realiza para
prevenir y/o controlar errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos
3. La pérdida de seguridad es cuando un elemento del SI falla por lo que impide su
funcionamiento, lo que lo impide responder a su labor impidiendole brindar el o
los servicios para los que está destinado. Una pérdida de seguridad está
relacionada a la pérdida de integridad, confidencialidad y/o disponibilidad
4. La seguridad informática es una propiedad inherente de un ambiente
informático que se logra a partir de identificar riesgos, analizarlos y manejarlos
para reducirlos y asi operar de una forma mas segura, teniendo en cuenta que
los SI no van a poder ser 100% seguros pero se puede intentar alcanzar dicha
seguridad aplicando ciertos controles, políticas y normas, velando por reducir
las pérdidas de no tener seguridad con el objetivo de proteger activos. Mientas
que la auditoría informática es una evaluación sistemática de los SI para ver si
en ellos hay concordancia con los objetivos (efectividad), vigencia de los
objetivos que forman el diseño original, permanencia del diseño por no haber
sufrido que lo degraden operativamente y su eficiencia.