Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
2
Auditoria de Sistemas TI 2019
2.7.6 Explicar la auditoria de la red física y lógica ...................................................................................................33
3.1 Conceptos Básicos ................................................................................................................................................35
3.1.1 Describir el concepto de evidencia, las irregularidades, los papeles de trabajo o documentación.................35
3.2 Interpretación de los resultados de la Auditoria Informática ..................................................................................36
3.2.1 Identificar los tipos de opiniones.....................................................................................................................36
3.2.2 Describir los componentes, características y tendencias de un informe ........................................................37
3.3 Identificar los tipos de conclusiones de la Auditoria Informática ............................................................................37
3.3.1 Identificar los tipos de de conclusiones ..........................................................................................................37
3.4 Áreas de oportunidad e las ITIL ............................................................................................................................38
3.4.1 Reconocer el concepto de FODA y sus componentes ...................................................................................38
3.4.2 Definir el concepto de ITIL ..............................................................................................................................39
3.4.3 Describir los lineamientos y/o estándares que ayudan en el control, operación, administración de recursos y
servicios informáticos ..............................................................................................................................................39
3
Auditoria de Sistemas TI 2019
2.1 Planeación de la auditoria Informática
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos
previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus
sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental,
pues habrá que hacerla desde el punto de vista de los dos objetivos:
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar, los objetivos
que debe cumplir, tiempos , herramientas y conocimientos previos, así como de crear su equipo de
auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.
Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un
profundo entendimiento de los controles usados dentro del área de informática.
El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto
de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta
significativamente las técnicas a aplicar.
Mediante una revisión adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de
formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los
procedimientos para control del cliente.
La Lista de Verificación, se usa para determinar con qué frecuencia ocurre un evento a lo largo de un período
de tiempo determinado.
En la Lista de Verificación se pueden recoger informaciones de eventos que están sucediendo o aquellos
que ya sucedieron.
4
Auditoria de Sistemas TI 2019
La lista de verificación permite observar, entre otros, los siguientes aspectos:
Número de veces que sucede una cosa.
Tiempo necesario para que alguna cosa suceda.
Costo de una determinada operación, a lo largo de un cierto período de tiempo.
Impacto de una actividad a lo largo de un período de tiempo.
Se usa para:
Registrar informaciones sobre el desempeño de un proceso.
¿Cómo usarla?
Determine exactamente lo que debe ser observado.
Defina el período durante el cual los datos serán recolectados.
Construya un formulario simple y de fácil manejo para anotar los datos.
Haga la recolección de datos, registrando la frecuencia de cada ítem que está siendo observado.
Sume la frecuencia de cada ítem y regístrela en la columna Total.
Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los
escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el
trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor
conversará y hará preguntas "normales", que en realidad servirán para la complementación sistemática de
sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de
preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar
Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno
de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos
débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto,
bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas,
en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los
puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas
complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El
entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las
notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su
presencia.
5
Auditoria de Sistemas TI 2019
Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y controlar las
actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función
informática, así como el resguardo de los activos de la empresa.
2.2.2 Identificar las aéreas y fases que pueda cubrir la auditoria de la seguridad
Anti-spyware, antivirus, llaves para protección de software, etc.
Mantener los sistemas de información (sistemas operativos y programas) con las actualizaciones
que más impacten en la Seguridad
Definir las necesidades de Sistemas de Seguridad para hardware y software
Flujo de energía
Cableados locales y externos
Aplicación de los Sistemas de Seguridad, incluyendo datos y archivos
Planificación de los papeles de los Auditores internos y externos
Planificación de programas de contingencia o recuperación de desastre y sus respectivas pruebas
(Simulación)
Planificación de Pruebas al Plan de Contingencia con carácter periódico
Política de Destrucción de basura, copias, fotocopias, discos duros, etc.
Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de
Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Areas
Especificas de la Auditoría Informática más importantes.
6
Auditoria de Sistemas TI 2019
Seguridad
La auditoría física no se debe limitar a comprobar la existencia de los medios físicos, sino también su
funcionalidad, racionalidad y seguridad.
Seguridad lógica.
Seguridad física.
Seguridad de las comunicaciones.
Técnicas:
Observación de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos.
Revisión analítica de: documentación, políticas, normas, procedimientos de seguridad física y
contratos de seguros.
Entrevistas con directivos y personal.
Consultas a técnicos y peritos.
Fases de la Auditoria:
Alcance de la Auditoría
Adquisición de Información General
Administración y Planificación
Plan de Auditoría
Resultado de las Pruebas
Conclusiones y Comentarios
Borrador de Informe
Discusión con los Responsables de Área
Informe Final
7
Auditoria de Sistemas TI 2019
Una ficha de cada proveedor para formar un fichero de proveedores en el que se reflejarán las
características de los artículos que cada proveedor puede suministrar y las condiciones
comerciales que ofrece.
La investigación de proveedores consiste en investigar y estudiar los posibles proveedores de los materiales
requeridos. Esta investigación generalmente se hace mediante la verificación de los proveedores
previamente registrados en el organismo de compras.
El organismo de compras debe tener un fichero o banco de datos sobre los proveedores registrados, que
contengan los abastecimientos que hayan efectuado y las condiciones en que se negocio, este fichero
debe permitir una evaluación del mercado de proveedores para cada material como modelo para comprar
las características de cada proveedor potencial.
La selección del proveedor más adecuado dentro de los investigados consiste en comparar las diversas
propuestas y cotizaciones de venta de varios proveedores y escoger cual es el que mejor atiende a las
conveniencias de la empresa, condiciones de pago, posibles descuentos, plazos de entrega, etc.
8
Auditoria de Sistemas TI 2019
Negociación con el proveedor
Una vez escogido el proveedor, compras comienzan a negociar con la adquisición del material requerido,
dentro de las condiciones más adecuadas del precio de pago. La negociación sirve para definir como se
hará la emisión del pedido de compra del proveedor.
El pedido de compra es un contrato formal entre la empresa y el proveedor, en donde se especifican las
condiciones en que se hizo la negociación. El comprador es el responsable de las condiciones y
especificaciones contenidas en el pedido de compra.
Hecho el pedido de compra, el organismo de compras necesita asegurarse de que la entrega del material
se hará dentro de los plazos establecidos y en la cantidad y calidad negociadas, debe haber un
acompañamiento o seguimiento del pedido, a través de constantes contactos personales o telefónicos con
el proveedor, para conocer el avance de la producción del material requerido, este seguimiento representa
una constante supervisión del pedido y una cobranza permanente de resultados, esto permite localizar
anticipadamente problemas y evitar sorpresas desagradables, pues a través de el, compras puede
asegurar el pedido, exigir la entrega en los plazos establecidos o intentar complementar el atraso con
oreos proveedores.
Para la selección de los proveedores se utilizan básicamente criterios económicos y de calidad, aunque se
puede utilizar una combinación de ambos.
Criterios económicos
La selección se realiza teniendo en cuenta el precio de los artículos, los descuentos comerciales, el pago
de los gastos ocasionados (transporte, embalajes, carga y descarga, etc.), los descuentos por volumen de
compra (rappels) y los plazos de pago.
Se elegirá el proveedor cuyo precio final sea más bajo. Lógicamente, cuando dos productos reúnan las
mismas condiciones económicas, se elegirá el de mayor calidad.
Criterios de calidad
Cuando a la hora de la selección el proveedor le conceda una gran importancia a la calidad de los
artículos, éstos han de ser sometidos a un meticuloso estudio comparativo de sus características técnicas,
analizar muestras, realizar pruebas, etcétera. Este criterio se utiliza cuando lo que prima en la empresa es
conseguir un producto de una determinada calidad, que no tiene que ser necesariamente la mejor, sino la
que interese al comprador en ese momento.
También se utilizan criterios de calidad cuando el producto ha de responder a unas características técnicas
determinadas. Cuando los artículos sean de la misma calidad se elegirá el que resulte más económico.
9
Auditoria de Sistemas TI 2019
No siempre la oferta más barata es la más conveniente, puesto que también se pueden considerar como
parámetros de calidad aspectos no directamente relacionados con los productos como, por ejemplo:
servicio postventa, periodo de garantía, imagen que el producto y el proveedor tengan en el mercado,
existencia de servicios de atención al cliente, etcétera. También se toman en cuenta del proveedor, su
prestigio, localización, instalaciones, fuerza técnica, capacidad financiera y nivel organizativo y de
administración.
2.4 Licenciamiento del Software
Es un contrato entre el licenciante (autor/titular de los derechos de explotación/distribuidor) y el
licenciatario del programa informático (usuario consumidor /usuario profesional o empresa), para utilizar el
software cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas.
Las licencias de software pueden establecer entre otras cosas: la cesión de determinados derechos del
propietario al usuario final sobre una o varias copias del programa informático, los límites en la
responsabilidad por fallos, el plazo de cesión de los derechos, el ámbito geográfico de validez del contrato
e incluso pueden establecer determinados compromisos del usuario final hacia el propietario, tales como la
no cesión del programa a terceros o la no reinstalación del programa en equipos distintos al que se instaló
originalmente.
Licenciante
El licenciante o proveedor-licenciante es aquel que provee el software más la licencia al licenciatario, la cual,
le permitirá a este último tener ciertos derechos sobre el software. El rol de licenciante lo puede ejercer
cualquiera de los siguientes actores:
Autor: El desarrollador o conjunto de desarrolladores que crea el software, son por antonomasía
quienes en una primera instancia poseen el rol de licenciante, al ser los titulares originales del
software.
Titular de los derechos de explotación: Es la persona natural o jurídica que recibe una cesión de
los derechos de explotación de forma exclusiva del software desde un tercero, transformándolo en
titular derivado y licenciante del software.
Distribuidor: Es la persona jurídica a la cual se le otorga el derecho de distribución y la posibilidad
de generar sublicencias del software mediante la firma de un contrato de distribución con el titular
de los derechos de explotación.
Garantía de titularidad
Es la garantía ofrecida por el licenciante o propietario, en la cual, asegura que cuenta con suficientes
derechos de explotación sobre el software como para permitirle proveer una licencia al licenciatario.
Licenciatario
10
Auditoria de Sistemas TI 2019
El licenciatario o usuario-licenciatario es aquella persona física o jurídica que se le permite ejercer el derecho
de uso más algún otro derecho de explotación sobre un determinado software cumpliendo las condiciones
establecidas por la licencia otorgada por el licenciante.
Usuario consumidor: Persona natural que recibe una licencia de software otorgada por el licenciante, la
cual, se encuentra en una posición desventajosa ante los términos y condiciones establecidas en ella.
Usuario profesional o empresa: Persona natural o jurídica que recibe una licencia de software otorgada por
el licenciante, la cual, se encuentra en igualdad de condiciones ante el licenciante para ejercer sus
derechos y deberes ante los términos y condiciones establecidos en la licencia.
Plazo
El plazo determina la duración en el tiempo durante la cual se mantienen vigentes los términos y
condiciones establecidos en licencia. Las licencias en base a sus plazos se pueden clasificar en:
Licencias con plazo específico.
Licencias de plazo indefinido.
Licencias sin especificación de plazo.
Precio
El precio determina el valor el cual debe ser pagado por el licenciatario al licenciante por el concepto de la
cesión de derechos establecidos en la licencia.
La evaluación del Software en una empresa va a permitir determinar si este esta siendo bien utilizado
Revisar cada cuando se le da mantenimiento, y si el que se le brinda es confiable y seguro.
Si todos los cambios son suficientemente controlados.
El Auditor debe someter a evaluaciones periódicas el software operativo y deberá obtener resultados que
le permitan asegurarse de las fortalezas del Software.
24
Auditoria de Sistemas TI 2019
2.5.1 Describir las características del Hardware y software apropiado para
tareas específicas
El software es el conjunto de instrucciones que las computadoras emplean para manipular datos. Sin el
software, la computadora sería un conjunto de medios sin utilizar.
Sus Componentes:
Procesamiento de texto
Bases de datos
Graficas
Servicios en línea
Programas
Consta de:
1.- Evaluación de los Sistemas
2.- Evaluación de los equipos
Capacidades
Utilización
Seguridad y evaluación física y lógica
3.- Evaluación de la Seguridad
4.-La seguridad en la informática
5.- La seguridad lógica
25
Auditoria de Sistemas TI 2019
2.6.1 Describir los pasos para evaluar los sistemas de información de acuerdo
al ciclo de vida
En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el
análisis.
Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales:
La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como
programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados
en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el
momento de la planeación.
Los requerimientos de los usuarios.
El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados,
sin importar si se efectuaron o se registraron.
En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el
análisis.
Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales:
La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como
programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados
en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el
momento de la planeación.
El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados,
sin importar si se efectuaron o se registraron.
La situación de una aplicación en dicho inventario puede ser alguna de las siguientes:
Planeada para ser desarrollada en el futuro.
En desarrollo.
En proceso, pero con modificaciones en desarrollo.
En proceso con problemas detectados.
En proceso sin problemas.
En proceso esporádicamente.
¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida
de reportes?
26
Auditoria de Sistemas TI 2019
Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la
identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la
determinación de los procedimientos de operación y decisión.
Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está
obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está
obteniendo.
¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida
de reportes?
Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la
identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la
determinación de los procedimientos de operación y decisión.
Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está
obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está
obteniendo.
BASES DE DATOS.
Fases:
1. Análisis de requisitos.
2. Diseño conceptual.
3. Elección del sistema gestor de bases de datos.
4. Diseño lógico.
5. Diseño físico.
6. Instalación y mantenimiento.
2.7.1 Reconocer los elementos que debe contener una red local con base en el
estándar ANSI/TIA 569 A y B
27
Auditoria de Sistemas TI 2019
ANSI/TIA/EIA-568-A
Alambrado de Telecomunicaciones para Edificios Comerciales
Este estándar define un sistema genérico de alambrado de telecomunicaciones para edificios comerciales
que puedan soportar un ambiente de productos y proveedores múltiples.
El estándar especifica:
Requerimientos mínimos para cableado de telecomunicaciones dentro de un ambiente de oficina
Topología y distancias recomendadas
Parámetros de medios de comunicación que determinan el rendimiento
La vida productiva de los sistemas de telecomunicaciones por cable por más de 10 años (15
actualmente)
ANSI/TIA/EIA-568-B
El estándar TIA/EIA-568-B se publica por primera vez en 2001. Sustituyen al conjunto de estándares
TIA/EIA-568-A que han quedado obsoletos.
TIA/EIA-568-B tres estándares que tratan el cableado comercial para productos y servicios de
telecomunicaciones. Los tres estándares oficiales: ANSI/TIA/EIA-568-B.1-2001, -B.2-2001 y -B.3-2001.
El contenido de 568-B.3 se refiere a los requerimientos de rendimiento mecánico y de transmisión del
cable de fibra óptica, hardware de conexión, y cordones de conexión, incluyen el reconocimiento de la fibra
multi-modo y el uso de conectores de fibra de factor de forma pequeño
TIA/EIA 568-B.3
Cables de fibra
se reconoce la fibra de 50 mm
se reconocen tanto la fibra multimodo como la modo-simple para el área de trabajo
Conectores de fibra
el conector 568SC dúplex permanece como estándar en el área de trabajo
otros conectores pueden se usados en otro sitios
28
Auditoria de Sistemas TI 2019
Deben con Fiber Optic Connector Intermateability Standard (FOCIS)
2.7.2 Reconocer los elementos que debe contener una red inalámbrica con base
en el estándar ANSI EIA/TIA 802.11x
Una red inalámbrica 802.11 está basada en una arquitectura celular en la que el sistema se divide en células
llamadas BSS (Basic Service Set). Cada célula está controlada por una estación base llamada AP (Access
Point).
Un sistema puede constar de una o varias células; en el caso pluricelular los diferentes AP se conectan
entre sí mediante un backbone llamado DS (Distribution System), típicamente Ethernet, aunque en
algunos casos también puede ser inalámbrico.
Todo este conjunto de células interconectadas se ve como una única red desde los protocolos de las
capas superiores, y se llama ESS (Extended Service Set). Cada ESS tiene un identificador conocido como
SSID, que debe ser el mismo en todos los AP del ESS.
El protocolo 802.11 puede utilizarse para soportar la conexión inalámbrica de puntos de acceso, de forma
que el sistema de distribución se vuelve inalámbrico. Esta opción recibe el nombre de WDS (Wireless
Distribution System). Los AP que soportan WDS pueden actuar con dos funciones: bridge inalámbrico o
repetidor.
El protocolo 802.11 define la capa física y la capa MAC. Hay distintas posibilidades para la capa física
dependiendo del tipo de red (a, b, g, h), e incluso distintas opciones dentro del mismo tipo. Actualmente el
tipo más común es el 802.11b, cuyas características de la capa física son:
La capa MAC, además de la funcionalidad típica de estas capas, realiza funciones que normalmente se
implementan en capas superiores: fragmentación, retransmisión de paquetes, y asentimientos .Esto es así
debido a las características de los enlaces radio, con errores altos, que aconsejan un tamaño pequeño de
los paquetes, pero debiéndose preservar desde el punto de vista de las capas superiores los paquetes de
1.518 bytes típicos de Ethernet.
29
Auditoria de Sistemas TI 2019
Este estándar reconoce tres conceptos fundamentales relacionados con telecomunicaciones y
edificios:
Los edificios son dinámicos. Durante la existencia de un edificio, las remodelaciones son más la
regla que la excepción. Este estándar reconoce, de manera positiva, que el cambio ocurre.
Los sistemas de telecomunicaciones y de medios son dinámicos. Durante la existencia de un
edificio, los equipos de telecomunicaciones cambian dramáticamente. Este estándar reconoce
este hecho siendo tan independiente como sea posible de proveedores de equipo.
Telecomunicaciones es más que datos y voz. Telecomunicaciones también incorpora otros
sistemas tales como control ambiental, seguridad, audio, televisión, alarmas y sonido. De hecho,
telecomunicaciones incorpora todos los sistemas de bajo voltaje que transportan información en
los edificios.
Objetivo
Estandarizar las prácticas de construcción y diseño.
Provee un sistema de soporte de telecomunicaciones que es adaptable a cambios durante la vida útil de la
instalación.
Alcance
Trayectorias y espacios en los cuales se colocan y terminan medios de telecomunicaciones.
Trayectorias y espacios de telecomunicaciones dentro y entre edificios.
Diseño de edificios comerciales para viviendas unifamiliares y multifamiliares.
Es la que se encarga de las conexiones físicas de la computadora hacia la red, tanto en lo que se refiere al
medio físico como a la forma en la que se transmite la información.
Esta capa se ocupa del direccionamiento físico, de la topología de la red, del acceso a la red, de la
notificación de errores, de la distribución ordenada de tramas y del control del flujo.
El objetivo de la capa de red es hacer que los datos lleguen desde el origen al destino, aún cuando ambos
no estén conectados directamente. Los dispositivos que facilitan tal tarea se denominan encaminadores,
aunque es más frecuente encontrar el nombre inglés routers y, en ocasiones enrutadores. Los routers
30
Auditoria de Sistemas TI 2019
trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en determinados casos, dependiendo
de la función que se le asigne. Los firewalls actúan sobre esta capa principalmente, para descartar
direcciones de máquinas.
Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del paquete) de la máquina
origen a la de destino, independizándolo del tipo de red física que se esté utilizando. La PDU de la capa 4
se llama Segmento o Datagrama, dependiendo de si corresponde a TCP o UDP. Sus protocolos son TCP y
UDP; el primero orientado a conexión y el otro sin conexión.
Esta capa es la que se encarga de mantener y controlar el enlace establecido entre dos computadores que
están transmitiendo datos de cualquier índole.
Ofrece a las aplicaciones la posibilidad de acceder a los servicios de las demás capas y define los protocolos
que utilizan las aplicaciones para intercambiar datos, como correo electrónico (POP y SMTP), gestores de
bases de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones distintas y
puesto que continuamente se desarrollan nuevas aplicaciones el número de protocolos crece sin parar.
Modelo TCP/IP
El Protocolo de Internet (IP) y el Protocolo de Transmisión (TCP), fueron desarrollados inicialmente en
1973 por el informático estadounidense Vinton Cerf como parte de un proyecto dirigido por el ingeniero
norteamericano Robert Kahn y patrocinado por la Agencia de Programas Avanzados de Investigación
(ARPA, siglas en inglés) del Departamento Estadounidense de Defensa. Internet comenzó siendo una red
informática de ARPA (llamada ARPAnet) que conectaba redes de ordenadores de varias universidades y
laboratorios en investigación en Estados Unidos. World Wibe Web se desarrolló en 1989 por el informático
británico Timothy Berners-Lee para el Consejo Europeo de Investigación Nuclear (CERN, siglas en francés).
DEFINICION TCP / IP
Se han desarrollado diferentes familias de protocolos para comunicación por red de datos para los
sistemas UNIX. El más ampliamente utilizado es el Internet Protocol Suite, comúnmente conocido como TCP
/ IP.
Es un protocolo DARPA que proporciona transmisión fiable de paquetes de datos sobre redes. El nombre
TCP / IP Proviene de dos protocolos importantes de la familia, el Transmission Control Protocol (TCP) y el
31
Auditoria de Sistemas TI 2019
Internet Protocol (IP). Todos juntos llegan a ser más de 100 protocolos diferentes definidos en este conjunto.
Las capas están jerarquizadas. Cada capa se construye sobre su predecesora. El número de capas y, en
cada una de ellas, sus servicios y funciones son variables con cada tipo de red. Sin embargo, en cualquier
red, la misión de cada capa es proveer servicios a las capas superiores haciéndoles transparentes el modo
en que esos servicios se llevan a cabo. De esta manera, cada capa debe ocuparse exclusivamente de su
nivel inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente superior, a quien devuelve
resultados.
Capa 4 o capa de aplicación: Aplicación, asimilable a las capas 5 (sesión), 6 (presentación) y 7 (aplicación)
del modelo OSI.la capa de aplicación debía incluir los detalles de las capas de sesión y presentación OSI.
Crearon una capa de aplicación que maneja aspectos de representación, codificación y control de diálogo.
Capa 3 o capa de transporte: Transporte, asimilable a la capa 4 (transporte) del modelo OSI.
Capa 2 o capa de red: Internet, asimilable a la capa 3 (red) del modelo OSI.
Capa 1 o capa de enlace: Acceso al Medio, asimilable a la capa 1 (física) y 2 (enlace de datos) del
modelo OSI.
Dado el constreñimiento del tiempo nos podemos estar debajo durante un contrato y el número de anfitriones
dentro del alcance, puede ser necesario centrarse inicialmente en los anfitriones críticos. Sin embargo, si el
pelado abajo de la lista de la blanco necesita ser hecho, él se hace generalmente durante el paso siguiente.
Nota: Es importante tomar en la consideración que los resultados del silbido de bala autoritariamente no
demuestran a que un anfitrión está abajo. En la luz de esto, si hay alguna duda si el target(s) está filtrado o
protegido con eficacia contra silbido de bala o está realmente abajo, recomendamos el continuar con una
exploración portuaria. Mantenga el número de puertos tales exploraciones abajo que estas exploraciones
tiendan para tomar a una cantidad de tiempo más larga. Si es necesario explorar una gran cantidad de
puertos en los anfitriones insensibles, es el mejor hacer esto durante la noche.
En el extremo de esta etapa, tenemos gusto de poder documentar todos los anfitriones de la blanco (vivos
y de otra manera) en una tabla junto con el OS, el IP address, los usos corrientes, cualquier información de
32
Auditoria de Sistemas TI 2019
la bandera disponible, y vulnerabilidades sabidas. Esta información es útil durante la etapa de la
explotación y para la presentación al cliente de modo que el cliente sea enterado de las vulnerabilidade s
en la red y la cantidad de información que un forastero puede recopilar antes de comprometer la red.
Identificando el sistema operativo, podemos procurar predecir los servicios que pueden funcionar en el
anfitrión y adaptar nuestras exploraciones del puerto basadas en esta información. Nmap, la herramienta
principal usada para realizar la identificación del OS, hace esto analizando la respuesta del apilado del
TCP de la blanco a los paquetes que Nmap envió. Vario RFCs gobierna cómo el apilado del TCP debe
responder cuando está preguntado. Sin embargo, los detalles de la puesta en práctica se dejan al
vendedor. Por lo tanto, las diferencias en cómo los vendedores satisfacen el RFCs permiten que sean
identificados. Mientras que este método no es a toda prueba, la detección del OS de Nmap es bastante
confiable y aceptada bien por la industria. Cambiar la firma del OS de una computadora es posible pero no
trivial, y no ha sido nuestra experiencia que las compañías realizan este nivel de enmascarar.
De los resultados de la exploración portuaria, ganamos una lista de puertos abiertos en las máquinas
receptoras. Un puerto abierto no indica enteramente lo que puede ser activo el servicio que escucha. Los
puertos debajo de 1024 se han asignado a los varios servicios y si éstos se encuentran abiertos, indican
generalmente el servicio asignado. Además, otros usos se han funcionado en ciertos puertos para tan de
largo que se han convertido en el estándar de hecho, tal como puerto 65301 para el pcAnywhere y 26000
para el temblor. Por supuesto los administradores de sistema pueden cambiar el puerto que un servicio
funciona encendido en una tentativa ―de ocultarla‖ (un ejemplo de la seguridad con oscuridad). Por lo
tanto, procuramos conectar con el puerto abierto y asir una bandera para verificar el funcionamiento del
servicio.
Una vez que la lista de usos se sepa, el paso siguiente es investigar la lista y determinarse existen qué
vulnerabilidades. Mientras que usted realiza pruebas de penetración, usted hace familiar con ciertas
vulnerabilidades populares y puede determinarse rápidamente si un uso es vulnerable. Sin embargo, es
importante tener presente que las nuevas vulnerabilidades están fijadas sobre una base diaria, y usted debe
comprobar sus bases de datos preferidas de la vulnerabilidad para saber si hay todos los usos, servicios, y
sistemas operativos que usted encuentra en cada contrato.
33
Auditoria de Sistemas TI 2019
AUDITORIA LOGICA
En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar
mensajes hasta que satura por completo la red.
34
Auditoria de Sistemas TI 2019
contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar
información sobre su última conexión a fin de evitar suplantaciones.
Inhabilitar el software o hardware con acceso libre.
Generar estadísticas de las tasas de errores y transmisión.
Crear protocolos con detección de errores.
Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes
duplicados, fuera de orden, perdidos o retrasados.
Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde
una terminal debidamente autorizada.
Se debe hacer un análisis del riesgode aplicaciones en los procesos.
Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes
organizaciones.
Asegurar que los datos que viajan por Internet vayan cifrados.
Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado
para impedir el acceso de equipos foráneos a la red.
Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.
Los accesos a servidores remotos han de estar inhabilitados.
La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en
cada una de las siguientes facetas:
35