UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

AUDITORIA DE SISTEMAS I
MAPEO DE SEGURIDAD DE LA ARQUITECTURA Y PLATAFORMAS TECNOLOGICAS

ALUMNO:

Wilmer Inca

CURSO: CA 9 8
QUITO ECUADOR

INTRODUCCIN
Manuales Concepto: Son documentos que sirven como medios de comunicacin y coordinacin que permiten registrar y transmitir en forma ordenada y sistemtica, informacin de una organizacin (antecedentes, legislacin, estructura, objetivos, polticas, sistemas, procedimientos, etc.). As como las instrucciones y lineamientos que se consideren necesarios para el mejor desempeo de sus tareas. Objetivos De Los Manuales

Promover el aprovechamiento racional de los recursos tecnolgicos disponibles. Precisar las funciones asignadas a cada unidad administrativa, para definir responsabilidades, evitar duplicaciones y detectar omisiones. Coadyuvar a la correcta realizacin de las labores encomendadas al personal y propiciar la uniformidad del trabajo. Ahorrar tiempo y esfuerzo en la realizacin del trabajo, evitando la repeticin de instrucciones y directrices.

Importancia de los manuales La importancia de los manuales radica en que ellos explican de manera detallada los procedimientos dentro de una organizacin; a travs de ellos logramos evitar grandes errores que se suelen cometer dentro de las reas funcionales de la empresa. Estos pueden detectar fallas que se presentan con regularidad, evitando la duplicidad de funciones. Adems son de gran utilidad cuando ingresan nuevas personas a la organizacin ya que le explican todo lo relacionado con la misma, desde su resea histrica, haciendo referencia a su estructura organizacional, hasta explicar los procedimientos y tareas de determinado departamento. Sistemas informticos: Los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa. La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado la gestin de la empresa.

Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la auditoria Informtica.

PLANTEAMIENTO DEL PROBLEMA

El avance de la informtica, los sistemas, las telecomunicaciones, y otras aplicaciones de tecnologa, han permitido a la sociedad moderna a travs de entes pblicos y privados desarrollarse rpidamente, en todos los mbitos y sentidos, en especial har nfasis en el desarrollo de los negocios, el cual est ntimamente relacionado con la tecnologa de informacin, y ha permitido la evolucin en la forma de llevar los procesos. Dicha tecnologa, ha permitido que los sistemas informticos estn sometidos al control correspondiente. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aqu algunos:

Las computadoras y los centros de proceso de datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo (delitos informticos y otros). Las computadoras creadas para procesar y difundir resultados o informacin elaborada pueden producir resultados o informacin errnea si dichos datos son, a su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus sistemas informticos, con la posibilidad de que se provoque un efecto cascada y afecte a aplicaciones independientes. Un sistema informtico mal diseado puede convertirse en una herramienta muy peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes recibidas y la modelizacin de la empresa est determinada por las computadoras que materializan los sistemas de informacin, la gestin y la organizacin de la empresa no puede depender de un software y hardware mal diseados.

Objetivos

Incrementar la satisfaccin de los usuarios de los sistemas computarizados. Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea de navegacin y del rea de telefona del Centro de Comunicaciones, as como tambin, las actividades que se desarrollan y los esfuerzos que se realizan para lograr los objetivos propuestos en dicha empresa. Reducir riesgos y aumentar los controles. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico. Capacitacin y educacin sobre controles en los sistemas de informacin.

Antecedentes:

La necesidad de regular y establecer parmetros para la correcta administracin y uso de los paquetes informticos tanto software como hardware han permitido la elaboracin de manuales y documentos que guan el uso de esta tecnologa. Varios de estos documentos son: COBIT Y LAS Normas ISO, entre estas ltimas La Norma ISO 15408, son varias de las normas que sirven como gua para el correcto manejo le la tecnologa informtica y de las diferentes plataformas que pueda utilizar una empresa.

ELEMENTOS Y CARACTERSTICAS DE LAS PLATAFORMAS Para poder cumplir las funciones que se espera de ellas, las Plataformas deben poseer unas aplicaciones mnimas, que se pueden agrupar en: - Herramientas de distribucin de contenidos que permitan al profesorado poner a disposicin del alumnado informacin en forma de archivos (que pueden tener distintos formatos: HTML, PDF, TXT, ODT, PNG...) organizados de forma jerarquizada (a travs de carpetas/directorios). - Herramientas de comunicacin y colaboracin sncronas y asncronas como foros de debate e intercambio de informacin, salas de Chat, mensajera interna del curso con posibilidad de enviar mensajes individuales y/o grupales. - Herramientas de seguimiento y evaluacin como cuestionarios editables por el profesorado para evaluacin del alumnado y de autoevaluacin para los mismos, tareas, reportes de la actividad de cada alumno, planillas de calificacin. - Herramientas de administracin y asignacin de permisos (se hace generalmente mediante autenticacin con nombre de usuario y contrasea para usuarios registrados). Objetivos de control para la informacin y tecnologas relacionadas Objetivos de Control para Tecnologas de informacin y relacionadas (COBIT, en ingls: Control ObjectivesforInformation and relatedTechnology) es un conjunto de mejores prcticas para el manejo de informacin creado por la Asociacin para la Auditora y Control de Sistemas de Informacin,(ISACA, en ingls: InformationSystemsAudit and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT GovernanceInstitute) en 1992. Ediciones La primera edicin fue publicada en 1996; la segunda edicin en 1998; la tercera edicin en 2000 (la edicin on-line estuvo disponible en 2003); y la cuarta edicin en diciembre de 2005, y la versin 4.1 [1] est disponible desde mayo de 2007. En su cuarta edicin, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control (especficos o detallados) clasificados en cuatro dominios: Planificacin y Organizacin, Adquisicin e Implementacin, Entrega y Soporte, y, Supervisin y Evaluacin. En ingls: Plan and Organize, Acquire and Implement, Deliver and Support, and Monitor and Evaluate.

Misin La misin de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del da a da de los gestores de negocios (tambin directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Informacin (o tecnologas de la informacin) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compaas mediante el desarrollo de un modelo de administracin de las tecnologas de la informacin.

ISO 15408
Qu viene a solucionar ISO 15408? Muchos sistemas y productos de Tecnologas de la Informacin (en adelante, productos y sistemas IT) estn diseados para satisfacer y realizar tareas especficas y puede ocurrir, normalmente por razones econmicas, que determinados aspectos de seguridad se encuentren delegados en funciones de seguridad de otros productos o sistemas de propsito general sobre los cuales ellos trabajan como pueden ser sistemas operativos, componentes software de propsito especfico o plataformas hardware. Por tanto, las medidas de salvaguarda dependen del correcto diseo y funcionamiento de los servicios de seguridad que implementan otros sistemas o productos IT ms genricos. Sera deseable por tanto, que stos estuvieran sometidos a evaluacin para conocer en qu medida nos ofrecen garantas y podemos depositar confianza en ellos. Tambin muchos clientes y consumidores de sistemas y productos IT carecen de los conocimientos necesarios o recursos suficientes para juzgar por ellos mismos si la confianza que depositan en estos sistemas o productos IT es adecuada y desearan no obtener esa certeza solamente en base a la informacin que proporcionan los fabricantes o las especificaciones de los desarrolladores. Qu es ISO 15408? La norma ISO/IEC 15408 define un criterio estndar a usar como base para la evaluacin de las propiedades y caractersticas de seguridad de determinado producto o sistema IT. Ello permite la equiparacin entre los resultados de diferentes e independientes evaluaciones, al proporcionar un marco comn con el que determinar los niveles de seguridad y confianza que implementa un determinado producto en base al conjunto de requisitos de seguridad y garanta que satisface respecto a esta norma obteniendo de esa forma una certificacin oficial de nivel de seguridad que satisface. Por tanto, la norma ISO/IEC 15408 proporciona una gua muy til a diferentes perfiles relacionados con las tecnologas de la seguridad

Por un lado, desarrolladores de productos o sistemas de tecnologas de la informacin, que pueden ajustar sus diseos. Por otro lado, consumidores que pueden conocer el nivel de confianza y seguridad que los productos de tecnologas de la informacin y sistemas le ofrecen. En ltimo lugar, los evaluadores de seguridad, que juzgan y certifican en que medida se ajusta una especificacin de un producto o sistema IT a los requisitos de seguridad deseados.

Cmo se organiza ISO 15408? Los Criterios Comunes (por no llamarla ISO 15408) establecen unos criterios de evaluacin basados en un anlisis riguroso del producto o sistema IT a evaluar y los requisitos que este satisface. Para ello, establece una clasificacin jerrquica de los requisitos de seguridad. Se determinan diferentes tipos de agrupaciones de los requisitos siendo sus principales tipos los que vemos a continuacin:

Clase: Conjunto de familias comparten un mismo objetivo de seguridad. Familia: un grupo de componentes que comparten objetivos de seguridad pero con diferente nfasis o rigor. Componente: un pequeo grupo de requisitos muy especficos y detallados. Es el menor elemento seleccionable para incluir en los documentos de perfiles de proteccin (PP) y especificacin de objetivos de seguridad (ST).

Veamos con un ejemplo como se clasifica de esta forma, requisitos de seguridad relacionados con la autenticacin.

Clase: Identificacin y autenticacin Familias de la clase: - Fallos de autenticacin - Definicin de atributos de usuario - Autenticacin de usuario - Identificacin de usuario Componentes de la familia Autenticacin de usuario - Tiempo de espera para la autenticacin - Acciones antes de autenticar - Mecanismos de autenticacin simple - Mecanismos de autenticacin mltiple

La norma ISO/IEC 15408 se presenta como un conjunto de tres partes diferentes pero relacionadas. A continuacin, describimos cada una de ellas: Parte 1. Introduccin y modelo general. Define los principios y conceptos generales de la evaluacin de la seguridad en tecnologas de la informacin y presenta el modelo general de evaluacin. Tambin establece cmo se pueden realizar especificaciones formales de sistemas o

productos IT atendiendo a los aspectos de seguridad de la informacin y su tratamiento. - ProtectionProfile (PP): un conjunto de requisitos funcionales y de garantas independientes de implementacin dirigido a identificar un conjunto determinado de objetivos de seguridad en un determinado dominio. Especifica de forma general que se desea y necesita respecto a la seguridad de un determinado dominio de seguridad. Ejemplos podran ser PP sobre firewalls, PP sobre control de acceso, etc. - Security Target (ST): un conjunto de requisitos funcionales y de garantas usado como especificaciones de seguridad de un producto o sistema concreto. Especifica que requisitos de seguridad proporciona o satisface un producto o sistema, ya basados en su implementacin. Ejemplos podran ser ST para Oracle v.7, ST para CheckPoint Firewall-1 etc. Parte 2. Requisitos Funcionales de Seguridad Este tipo de requisitos definen un comportamiento deseado en materia de seguridad de un determinado producto o sistema IT y se agrupa en clases. Contiene las siguientes clases: FAU- Auditoria FCO- Comunicaciones FCS- Soporte criptogrfico FDP- Proteccin de datos de usuario FIA- Identificacin y autenticacin de usuario FMT- Gestin de la seguridad FPR- Privacidad FPT- Proteccin de las funciones de seguridad del objetivo a evaluar FRU- Utilizacin de recursos FTA- Acceso al objetivo de evaluacin FTP- Canales seguros Parte 3. Requisitos de Garantas de Seguridad Este tipo de requisitos establecen los niveles de confianza que ofrecen funciones de seguridad del producto o sistema. Trata de evaluar que garantas proporciona el producto o sistema en base a los requisitos que se satisfacen a lo largo del ciclo de vida del producto o sistema. Contiene las siguientes clases: ACM- Gestin de la configuracin ADO- Operacin y entrega ADV- Desarrollo AGD- Documentacin y guas ALC- Ciclo de vida ATE- Prueba AVA- Evaluacin de vulnerabilidades APE- Evaluacin de perfiles de proteccin (PP) ASE- Evaluacin de objetivos de seguridad (ST) AMA- Mantenimiento de garantas

Qu se certifica con ISO 15408? En este sentido, los CommonCriteria o ISO/IEC 15408, proporcionan tambin unos niveles de garanta (EAL) como resultado final de la evaluacin. Estos consisten en agrupaciones de requisitos vistos anteriormente en un paquete, de forma que obtener cierto nivel de garanta equivale a satisfacer por parte del objeto de evaluacin ciertos paquetes de requisitos. Todo proceso de evaluacin comienza con la definicin del objeto a evaluar, que definimos a continuacin: Target of Security (TOE): Documento que realiza una descripcin del producto o sistema que se va a evaluar, determinando los recursos y dispositivos que utiliza, la documentacin que proporciona y el entorno en el que trabaja.

Conclusin:
La utilizacin de estndares, normas, polticas que nos permitan manejar de mejor manera la informacin de las empresas es de gran utilidad para las empresas.

BIBLIOGRAFA:

http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog% C3%ADas_relacionadas http://www.monografias.com/trabajos15/auditoria-comunicaciones/auditoriacomunicaciones.shtml http://www.disenografico.humanet.co/plataforma.htm# http://seguridad-de-la-informacion.blogspot.com/2009/04/iso-15408-y-el-dni-e-pp-parael.html