Universidad Tecnolgica de

Candelaria
Ingeniera en Tecnologas de la Informacin
y Comunicacin.
Tema:
Desarrollo de la auditora informtica.
Alumna:
Abigail Lpez Gonzlez
Materia:
Auditora de Sistemas de T.I.

Maestro:
Ing. Isaas Ara Hernndez

Fecha: 20 de Octubre de 2016

Contenido

2 Evaluacin de la Seguridad..................................................................................................................2
2.2.1 Identificar los modelos de Seguridad........................................................................................2
2.2.2 Identificar las areas y fases que pueda cubrir la auditoria de la seguridad............................2
2.2.3 Definir la auditoria de seguridad fsica lgica de los datos.......................................................3
2.3 Seleccin de proveedores.................................................................................................................5
2.3.1 Reconocer las caractersticas que debe tener un proveedor....................................................6
2.3.2 Reconocer los procedimientos vigentes o existentes para la seleccin de proveedores.........7
2.4 Licenciamiento del Software.............................................................................................................9
2.4.1 Identificar los diferentes tipos de licenciamientos de software y condiciones de uso..............9

2 Evaluacin de la Seguridad
Para realizar una evaluacin de la Seguridad, es importante conocer cmo
desarrollar y ejecutar la implantacin de un Sistema de Seguridad.
Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y
controlar las actividades relacionadas a mantener y garantizar la integridad fsica
de los recursos implicados en la funcin informtica, as como el resguardo de los
activos de la empresa.
2.2.1 Identificar los modelos de Seguridad

Definir elementos administrativos

Definir Polticas de Seguridad: A nivel departamental, a nivel institucional

Organizar y dividir las responsabilidades

Contemplar la Seguridad Fsica contra catstrofes (incendios, terremotos,

inundaciones, etc.)

Definir prcticas de Seguridad para el personal: Plan de emergencia, Plan

de evacuacin, Uso de recursos de emergencia (extinguidores, etc.)

Definir el tipo de Plizas de Seguros

Definir elementos tcnicos de procedimientos: Tcnicas de aseguramiento

del sistema

Codificar la informacin: Criptografa

Contraseas difciles de averiguar (letras maysculas, minsculas, nmeros

y smbolos ) que deben ser cambiadas peridicamente

Vigilancia de Red: Tecnologas repelentes o protectoras (Cortafuegos

(firewalls), sistema de deteccin de intrusos, etc.)

2.2.2 Identificar las areas y fases que pueda cubrir la auditoria de la

seguridad
Anti-spyware, antivirus, llaves para proteccin de software, etc.
2

Mantener los sistemas de informacin (sistemas operativos y programas)

con las actualizaciones que ms impacten en la Seguridad
Definir las necesidades de Sistemas de Seguridad para hardware y
software
Flujo de energa
Cableados locales y externos
Aplicacin de los Sistemas de Seguridad, incluyendo datos y archivos
Planificacin de los papeles de los Auditores internos y externos
Planificacin de programas de contingencia o recuperacin de desastre y
sus respectivas pruebas (Simulacin)
Planificacin de Pruebas al Plan de Contingencia con carcter peridico
Poltica de Destruccin de basura, copias, fotocopias, discos duros, etc.
Dentro de las reas generales, se establecen las siguientes divisiones de
Auditora Informtica: de Explotacin, de Sistemas, de Comunicaciones y
de Desarrollo de Proyectos. Estas son las Areas Especificas de la Auditora
Informtica ms importantes.
reas

reas Generales

Especficas
Explotacin

Interna

Direccin

Usuario

Seguridad

Desarrollo
Sistemas
Comunicaciones
Seguridad
2.2.3 Definir la auditoria de seguridad fsica lgica de los datos
La seguridad fsica garantiza la integridad de los activos humanos, lgicos y
materiales.
La auditora fsica no se debe limitar a comprobar la existencia de los medios
fsicos, sino tambin su funcionalidad, racionalidad y seguridad.
3

Existen tres tipos de seguridad:

Seguridad lgica.

Seguridad fsica.

Seguridad de las comunicaciones.

EL PLAN DE CONTINGENCIA DE TENER LO SIGUIENTE:

Realizar un anlisis de riesgos de los sistemas crticos.

Establecer un periodo crtico de recuperacin.

Realizar un anlisis de las aplicaciones crticas estableciendo periodos de

proceso.

Establecer prioridades de proceso por das del ao de las aplicaciones y

orden de los procesos.

Establecer objetivos de recuperacin que determine el periodo de tiempo

entre la declaracin del desastre y el momento en el que el centro
alternativo puede procesar las aplicaciones crticas.

Designar entre los distintos tipos existentes en un centro alternativo de

proceso de datos.

Asegurar la capacidad de las comunicaciones.

Asegurar los servicios de bookup.

Tcnicas:

Observacin de las instalaciones, sistemas, cumplimiento de Normas y

Procedimientos.

Revisin analtica de: documentacin, polticas, normas, procedimientos

de seguridad fsica y contratos de seguros.

Entrevistas con directivos y personal.

Consultas a tcnicos y peritos.

4

Fases de la Auditoria:

Alcance de la Auditora

Adquisicin de Informacin General

Administracin y Planificacin

Plan de Auditora

Resultado de las Pruebas

Conclusiones y Comentarios

Borrador de Informe

Discusin con los Responsables de rea

Informe Final

2.3 Seleccin de proveedores

Una vez que se han buscado proveedores, se procede a la seleccin de los ms
adecuados; esto implica el estudio exhaustivo de los posibles proveedores y su
eliminacin sucesiva basndose en los criterios de seleccin que se hayan
elegido, hasta reducir la cantidad a unos pocos proveedores. Con la informacin
que se recabe en el proceso de seleccin se realiza el siguiente trabajo:

Una ficha de cada proveedor para formar un fichero de proveedores en

el que se reflejarn las caractersticas de los artculos que cada proveedor
puede suministrar y las condiciones comerciales que ofrece.

Modelo de ficha de proveedores.

2.3.1 Reconocer las caractersticas que debe tener un proveedor
La investigacin de proveedores consiste en investigar y estudiar los posibles
proveedores de los materiales requeridos. Esta investigacin generalmente se
hace mediante la verificacin de los proveedores previamente registrados en el
organismo de compras.
El organismo de compras debe tener un fichero o banco de datos sobre los
proveedores registrados, que contengan los abastecimientos que hayan efectuado
y las condiciones en que se negocio, este fichero debe permitir una evaluacin del
mercado de proveedores para cada material como modelo para comprar las
caractersticas de cada proveedor potencial.
La seleccin del proveedor ms adecuado dentro de los investigados consiste en
comparar las diversas propuestas y cotizaciones de venta de varios proveedores y
escoger cual es el que mejor atiende a las conveniencias de la empresa,
condiciones de pago, posibles descuentos, plazos de entrega, etc.
6

Negociacin con el proveedor

Una vez escogido el proveedor, compras comienzan a negociar con la adquisicin
del material requerido, dentro de las condiciones ms adecuadas del precio de
pago. La negociacin sirve para definir como se har la emisin del pedido de
compra del proveedor.
El pedido de compra es un contrato formal entre la empresa y el proveedor, en
donde se especifican las condiciones en que se hizo la negociacin. El comprador
es el responsable de las condiciones y especificaciones contenidas en el pedido
de compra.
Acompaamiento del pedido
Hecho el pedido de compra, el organismo de compras necesita asegurarse de que
la entrega del material se har dentro de los plazos establecidos y en la cantidad y
calidad negociadas, debe haber un acompaamiento o seguimiento del pedido, a
travs de constantes contactos personales o telefnicos con el proveedor, para
conocer el avance de la produccin del material requerido, este seguimiento
representa una constante supervisin del pedido y una cobranza permanente de
resultados, esto permite localizar anticipadamente problemas y evitar sorpresas
desagradables, pues a travs de el, compras puede asegurar el pedido, exigir la
entrega en los plazos establecidos o intentar complementar el atraso con oreos
proveedores.
2.3.2 Reconocer los procedimientos vigentes o existentes para la seleccin
de proveedores
Para la seleccin de los proveedores se utilizan bsicamente criterios econmicos
y de calidad, aunque se puede utilizar una combinacin de ambos.
7

Criterios econmicos
La seleccin se realiza teniendo en cuenta el precio de los artculos, los
descuentos comerciales, el pago de los gastos ocasionados (transporte,
embalajes, carga y descarga, etc.), los descuentos por volumen de compra
(rappels) y los plazos de pago.
Se elegir el proveedor cuyo precio final sea ms bajo. Lgicamente, cuando dos
productos renan las mismas condiciones econmicas, se elegir el de mayor
calidad.
Criterios de calidad
Cuando a la hora de la seleccin el proveedor le conceda una gran importancia a
la calidad de los artculos, stos han de ser sometidos a un meticuloso estudio
comparativo de sus caractersticas tcnicas, analizar muestras, realizar pruebas,
etctera. Este criterio se utiliza cuando lo que prima en la empresa es conseguir
un producto de una determinada calidad, que no tiene que ser necesariamente la
mejor, sino la que interese al comprador en ese momento.
Tambin se utilizan criterios de calidad cuando el producto ha de responder a unas
caractersticas tcnicas determinadas. Cuando los artculos sean de la misma
calidad se elegir el que resulte ms econmico.
No siempre la oferta ms barata es la ms conveniente, puesto que tambin se
pueden considerar como parmetros de calidad aspectos no directamente
relacionados con los productos como, por ejemplo: servicio postventa, periodo de
garanta, imagen que el producto y el proveedor tengan en el mercado, existencia
de servicios de atencin al cliente, etctera. Tambin se toman en cuenta del
proveedor, su prestigio, localizacin, instalaciones, fuerza tcnica, capacidad
financiera y nivel organizativo y de administracin.
8

2.4 Licenciamiento del Software

Es

un contrato entre

explotacin/distribuidor)

el

licenciante

y el

(autor/titular

licenciatario

de

del programa

los

derechos

de

informtico (usuario

consumidor /usuario profesional o empresa), para utilizar el software cumpliendo

una serie de trminos y condiciones establecidas dentro de sus clusulas.
Las licencias de software pueden establecer entre otras cosas: la cesin de
determinados derechos del propietario al usuario final sobre una o varias copias
del programa informtico, los lmites en la responsabilidad por fallos, el plazo de
cesin de los derechos, el mbito geogrfico de validez del contrato e incluso
pueden establecer determinados compromisos del usuario final hacia el
propietario, tales como la no cesin del programa a terceros o la no reinstalacin
del programa en equipos distintos al que se instal originalmente.
2.4.1 Identificar los diferentes tipos de licenciamientos de software y
condiciones de uso
Elementos personales de una licencia de software
Licenciante
El licenciante o proveedor-licenciante es aquel que provee el software ms la
licencia al licenciatario, la cual, le permitir a este ltimo tener ciertos derechos
sobre el software. El rol de licenciante lo puede ejercer cualquiera de los
siguientes actores:

Autor: El desarrollador o conjunto de desarrolladores que crea el software,

son por antonomasa quienes en una primera instancia poseen el rol de
licenciante, al ser los titulares originales del software.

Titular de los derechos de explotacin: Es la persona natural o jurdica que

recibe una cesin de los derechos de explotacin de forma exclusiva del
9

software desde un tercero, transformndolo en titular derivado y licenciante

del software.

Distribuidor: Es la persona jurdica a la cual se le otorga el derecho de

distribucin y la posibilidad de generar sublicencias del software mediante
la firma de un contrato de distribucin con el titular de los derechos de
explotacin.

Garanta de titularidad
Es la garanta ofrecida por el licenciante o propietario, en la cual, asegura que
cuenta con suficientes derechos de explotacin sobre el software como para
permitirle proveer una licencia al licenciatario.
Licenciatario
El licenciatario o usuario-licenciatario es aquella persona fsica o jurdica que se le
permite ejercer el derecho de uso ms algn otro derecho de explotacin sobre un
determinado software cumpliendo las condiciones establecidas por la licencia
otorgada por el licenciante.
Usuario consumidor: Persona natural que recibe una licencia de software otorgada
por el licenciante, la cual, se encuentra en una posicin desventajosa ante los
trminos y condiciones establecidas en ella.
Usuario profesional o empresa: Persona natural o jurdica que recibe una licencia
de software otorgada por el licenciante, la cual, se encuentra en igualdad de
condiciones ante el licenciante para ejercer sus derechos y deberes ante los
trminos y condiciones establecidos en la licencia.
Elementos objetivos de una licencia de software
Plazo

10

El plazo determina la duracin en el tiempo durante la cual se mantienen vigentes

los trminos y condiciones establecidos en licencia. Las licencias en base a sus
plazos se pueden clasificar en:

Licencias con plazo especfico.

Licencias de plazo indefinido.

Licencias sin especificacin de plazo.

Precio
El precio determina el valor el cual debe ser pagado por el licenciatario al
licenciante por el concepto de la cesin de derechos establecidos en la licencia.

11