AUDITORIA DE SISTEMAS EN TI

Auditoria de Sistemas TI 2019

Contenido
1.1 Auditoria de la Función Informática..........................................................................................................................4
1.1.1 Definir conceptos de Auditoria y Auditoria Informática .....................................................................................4
1.1.2 Describir la estructura organizacional y funciones de la auditoria Informática .................................................4
1.1.3 Reconocer las TI y sus características .............................................................................................................4
1.2 Políticas de la Organización (Reglas de la Organización) .......................................................................................5
1.2.1 Describir el concepto de Política ......................................................................................................................5
1.2.2 Describir la importancia del manual de Políticas de la Organización ...............................................................5
1.3 Interpretación del Manual de Procedimientos de la organización ............................................................................6
1.3.1 Reconocer los conceptos de procesos, roles y funciones ................................................................................6
1.3.2 Definir el concepto de manual ..........................................................................................................................6
1.3.3 Describir los tipos de manuales de la organización y sus apartados................................................................6
1.4 Recursos Humanos..................................................................................................................................................7
1.4.1 Definir el concepto de Capital Humano ............................................................................................................7
1.4.2 Describir la Gestión de Recursos Humanos .....................................................................................................8
1.5 Diagnostico de la Situación Actual .........................................................................................................................10
1.5.1 Describir los pasos para realizar un diagnostico de la situación actual de una organización .........................10
1.5.2 Explicar el diagnostico del negocio u organización ........................................................................................11
1.5.3 Áreas de Oportunidad de TI dentro de la Organización .................................................................................12
1.6 Control Interno .......................................................................................................................................................13
1.6.1 Describir el concepto de control Interno, sus funciones y tipos de Control.....................................................13
1.6.2 Describir la metodología para el establecimiento de Controles ......................................................................16
2.1 Planeación de la auditoria Informática ...................................................................................................................17
2.1.1 Reconocer las normas y estándares relacionados con proyectos de TI.........................................................17
2.1.2 Identificar las fases de la auditoria Informática...............................................................................................17
2.1.3 Definir los elementos de la planeación de la auditoria Informática .................................................................17
2.1.4 Definir el concepto de la lista de Verificación .................................................................................................17
2.2 Evaluación de la Seguridad ...................................................................................................................................18
2.2.1 Identificar los modelos de Seguridad..............................................................................................................19
2.2.2 Identificar las aéreas y fases que pueda cubrir la auditoria de la seguridad ..................................................19
2.2.3 Definir la auditoria de seguridad física lógica de los datos .............................................................................20
2.3 Selección de proveedores......................................................................................................................................21
2.3.1 Reconocer las características que debe tener un proveedor .........................................................................21
2.3.2 Reconocer los procedimientos vigentes o existentes para la selección de proveedores ...............................22
2.4 Licenciamiento del Software ..................................................................................................................................23
2.4.1 Identificar los diferentes tipos de licenciamientos de software y condiciones de uso .....................................23
2.5 Evaluación de Hardware y Software ......................................................................................................................24
2.5.1 Describir las características del Hardware y software apropiado para tareas específicas .............................25
2.6 Evaluación de sistemas .........................................................................................................................................25
2.6.1 Describir los pasos para evaluar los sistemas de información de acuerdo al ciclo de vida ............................26
2.6.2 Explicar los elementos de la evaluación de análisis de sistemas ...................................................................26
2.6.3 Explicar los elementos de la evaluación del diseño lógico ............................................................................26
2.6.4 Explicar los elementos de la evaluación del desarrollo del sistema ...............................................................27
2.7 Evaluación de la red...............................................................................................................................................27
2.7.1 Reconocer los elementos que debe contener una red local con base en el estándar ANSI/TIA 569 A y B ...27
2.7.2 Reconocer los elementos que debe contener una red inalámbrica con base en el estándar ANSI EIA/TIA
802.11x....................................................................................................................................................................29
2.7.3 Reconocer normas para establecer un site de Telecomunicaciones (ANSI EIA/TIA 569)..............................29
2.7.4 Reconocer el modelo OSI y el protocolo TCP/IP ............................................................................................30
2.7.5 Describir la vulnerabilidad de las redes ..........................................................................................................32

2
 Auditoria de Sistemas TI 2019
2.7.6 Explicar la auditoria de la red física y lógica ...................................................................................................33
3.1 Conceptos Básicos ................................................................................................................................................35
3.1.1 Describir el concepto de evidencia, las irregularidades, los papeles de trabajo o documentación.................35
3.2 Interpretación de los resultados de la Auditoria Informática ..................................................................................36
3.2.1 Identificar los tipos de opiniones.....................................................................................................................36
3.2.2 Describir los componentes, características y tendencias de un informe ........................................................37
3.3 Identificar los tipos de conclusiones de la Auditoria Informática ............................................................................37
3.3.1 Identificar los tipos de de conclusiones ..........................................................................................................37
3.4 Áreas de oportunidad e las ITIL ............................................................................................................................38
3.4.1 Reconocer el concepto de FODA y sus componentes ...................................................................................38
3.4.2 Definir el concepto de ITIL ..............................................................................................................................39
3.4.3 Describir los lineamientos y/o estándares que ayudan en el control, operación, administración de recursos y
servicios informáticos ..............................................................................................................................................39

3
 Auditoria de Sistemas TI 2019
2.1 Planeación de la auditoria Informática
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos
previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus
sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental,
pues habrá que hacerla desde el punto de vista de los dos objetivos:
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.

2.1.1 Reconocer las normas y estándares relacionados con proyectos de TI

En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar, los objetivos
que debe cumplir, tiempos , herramientas y conocimientos previos, así como de crear su equipo de
auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.
Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un
profundo entendimiento de los controles usados dentro del área de informática.

2.1.2 Identificar las fases de la auditoria Informática

El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto
de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta
significativamente las técnicas a aplicar.
Mediante una revisión adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de
formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los
procedimientos para control del cliente.

2.1.3 Definir los elementos de la planeación de la auditoria Informática

Una de las partes más importantes en la planeación de la auditoría en informática es el personal que
deberá participar, ya que se debe contar con un equipo seleccionado y con ciertas características que
puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado.

2.1.4 Definir el concepto de la lista de Verificación

La Lista de Verificación, se usa para determinar con qué frecuencia ocurre un evento a lo largo de un período
de tiempo determinado.

En la Lista de Verificación se pueden recoger informaciones de eventos que están sucediendo o aquellos
que ya sucedieron.

A pesar de que la finalidad de la Lista de verificación es el registro de datos y no su análisis, frecuentemente

indica cuál es el problema que muestra esa ocurrencia.

4
 Auditoria de Sistemas TI 2019
La lista de verificación permite observar, entre otros, los siguientes aspectos:
Número de veces que sucede una cosa.
Tiempo necesario para que alguna cosa suceda.
Costo de una determinada operación, a lo largo de un cierto período de tiempo.
Impacto de una actividad a lo largo de un período de tiempo.

Se usa para:
Registrar informaciones sobre el desempeño de un proceso.

¿Cómo usarla?
Determine exactamente lo que debe ser observado.
Defina el período durante el cual los datos serán recolectados.
Construya un formulario simple y de fácil manejo para anotar los datos.
Haga la recolección de datos, registrando la frecuencia de cada ítem que está siendo observado.
Sume la frecuencia de cada ítem y regístrela en la columna Total.

Checklist:

El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los
escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el
trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor
conversará y hará preguntas "normales", que en realidad servirán para la complementación sistemática de
sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de
preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar
Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno
de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos
débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto,
bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas,
en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los
puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas
complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El
entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las
notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su
presencia.

2.2 Evaluación de la Seguridad

Para realizar una evaluación de la Seguridad, es importante conocer cómo desarrollar y ejecutar la
implantación de un Sistema de Seguridad.

5
 Auditoria de Sistemas TI 2019
Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y controlar las
actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función
informática, así como el resguardo de los activos de la empresa.

2.2.1 Identificar los modelos de Seguridad

Definir elementos administrativos

Definir Políticas de Seguridad: A nivel departamental, a nivel institucional
Organizar y dividir las responsabilidades
Contemplar la Seguridad Física contra catástrofes (incendios, terremotos, inundaciones, etc.)
Definir prácticas de Seguridad para el personal: Plan de emergencia, Plan de evacuación, Uso de
recursos de emergencia (extinguidores, etc.)
Definir el tipo de Pólizas de Seguros
Definir elementos técnicos de procedimientos: Técnicas de aseguramiento del sistema
Codificar la información: Criptografía
Contraseñas difíciles de averiguar (letras mayúsculas, minúsculas, números y símbolos ) que
deben ser cambiadas periódicamente
Vigilancia de Red: Tecnologías repelentes o protectoras (Cortafuegos (firewalls), sistema de
detección de intrusos, etc.)

2.2.2 Identificar las aéreas y fases que pueda cubrir la auditoria de la seguridad
Anti-spyware, antivirus, llaves para protección de software, etc.
Mantener los sistemas de información (sistemas operativos y programas) con las actualizaciones
que más impacten en la Seguridad
Definir las necesidades de Sistemas de Seguridad para hardware y software
Flujo de energía
Cableados locales y externos
Aplicación de los Sistemas de Seguridad, incluyendo datos y archivos
Planificación de los papeles de los Auditores internos y externos
Planificación de programas de contingencia o recuperación de desastre y sus respectivas pruebas
(Simulación)
Planificación de Pruebas al Plan de Contingencia con carácter periódico
Política de Destrucción de basura, copias, fotocopias, discos duros, etc.
Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de
Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Areas
Especificas de la Auditoría Informática más importantes.

Áreas Específicas Áreas Generales

Explotación Interna Dirección Usuario Seguridad
Desarrollo
Sistemas
Comunicaciones

6
 Auditoria de Sistemas TI 2019
Seguridad

2.2.3 Definir la auditoria de seguridad física lógica de los datos

La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales.

La auditoría física no se debe limitar a comprobar la existencia de los medios físicos, sino también su
funcionalidad, racionalidad y seguridad.

Existen tres tipos de seguridad:

Seguridad lógica.
Seguridad física.
Seguridad de las comunicaciones.

EL PLAN DE CONTINGENCIA DE TENER LO SIGUIENTE:

Realizar un análisis de riesgos de los sistemas críticos.

Establecer un periodo crítico de recuperación.
Realizar un análisis de las aplicaciones críticas estableciendo periodos de proceso.
Establecer prioridades de proceso por días del año de las aplicaciones y orden de los procesos.
Establecer objetivos de recuperación que determine el periodo de tiempo entre la declaración del
desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas.
Designar entre los distintos tipos existentes en un centro alternativo de proceso de datos.
Asegurar la capacidad de las comunicaciones.
Asegurar los servicios de bookup.

Técnicas:
Observación de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos.
Revisión analítica de: documentación, políticas, normas, procedimientos de seguridad física y
contratos de seguros.
Entrevistas con directivos y personal.
Consultas a técnicos y peritos.

Fases de la Auditoria:

Alcance de la Auditoría
Adquisición de Información General
Administración y Planificación
Plan de Auditoría
Resultado de las Pruebas
Conclusiones y Comentarios
Borrador de Informe
Discusión con los Responsables de Área
Informe Final

7
 Auditoria de Sistemas TI 2019

2.3 Selección de proveedores

Una vez que se han buscado proveedores, se procede a la selección de los más adecuados; esto implica
el estudio exhaustivo de los posibles proveedores y su eliminación sucesiva basándose en los criterios de
selección que se hayan elegido, hasta reducir la cantidad a unos pocos proveedores. Con la información
que se recabe en el proceso de selección se realiza el siguiente trabajo:

Una ficha de cada proveedor para formar un fichero de proveedores en el que se reflejarán las
características de los artículos que cada proveedor puede suministrar y las condiciones
comerciales que ofrece.

Modelo de ficha de proveedores.

2.3.1 Reconocer las características que debe tener un proveedor

La investigación de proveedores consiste en investigar y estudiar los posibles proveedores de los materiales
requeridos. Esta investigación generalmente se hace mediante la verificación de los proveedores
previamente registrados en el organismo de compras.

El organismo de compras debe tener un fichero o banco de datos sobre los proveedores registrados, que
contengan los abastecimientos que hayan efectuado y las condiciones en que se negocio, este fichero
debe permitir una evaluación del mercado de proveedores para cada material como modelo para comprar
las características de cada proveedor potencial.

La selección del proveedor más adecuado dentro de los investigados consiste en comparar las diversas
propuestas y cotizaciones de venta de varios proveedores y escoger cual es el que mejor atiende a las
conveniencias de la empresa, condiciones de pago, posibles descuentos, plazos de entrega, etc.

8
 Auditoria de Sistemas TI 2019
Negociación con el proveedor

Una vez escogido el proveedor, compras comienzan a negociar con la adquisición del material requerido,
dentro de las condiciones más adecuadas del precio de pago. La negociación sirve para definir como se
hará la emisión del pedido de compra del proveedor.

El pedido de compra es un contrato formal entre la empresa y el proveedor, en donde se especifican las
condiciones en que se hizo la negociación. El comprador es el responsable de las condiciones y
especificaciones contenidas en el pedido de compra.

Acompañamiento del pedido

Hecho el pedido de compra, el organismo de compras necesita asegurarse de que la entrega del material
se hará dentro de los plazos establecidos y en la cantidad y calidad negociadas, debe haber un
acompañamiento o seguimiento del pedido, a través de constantes contactos personales o telefónicos con
el proveedor, para conocer el avance de la producción del material requerido, este seguimiento representa
una constante supervisión del pedido y una cobranza permanente de resultados, esto permite localizar
anticipadamente problemas y evitar sorpresas desagradables, pues a través de el, compras puede
asegurar el pedido, exigir la entrega en los plazos establecidos o intentar complementar el atraso con
oreos proveedores.

2.3.2 Reconocer los procedimientos vigentes o existentes para la selección de

proveedores

Para la selección de los proveedores se utilizan básicamente criterios económicos y de calidad, aunque se
puede utilizar una combinación de ambos.

Criterios económicos

La selección se realiza teniendo en cuenta el precio de los artículos, los descuentos comerciales, el pago
de los gastos ocasionados (transporte, embalajes, carga y descarga, etc.), los descuentos por volumen de
compra (rappels) y los plazos de pago.
Se elegirá el proveedor cuyo precio final sea más bajo. Lógicamente, cuando dos productos reúnan las
mismas condiciones económicas, se elegirá el de mayor calidad.

Criterios de calidad

Cuando a la hora de la selección el proveedor le conceda una gran importancia a la calidad de los
artículos, éstos han de ser sometidos a un meticuloso estudio comparativo de sus características técnicas,
analizar muestras, realizar pruebas, etcétera. Este criterio se utiliza cuando lo que prima en la empresa es
conseguir un producto de una determinada calidad, que no tiene que ser necesariamente la mejor, sino la
que interese al comprador en ese momento.

También se utilizan criterios de calidad cuando el producto ha de responder a unas características técnicas
determinadas. Cuando los artículos sean de la misma calidad se elegirá el que resulte más económico.

9
 Auditoria de Sistemas TI 2019
No siempre la oferta más barata es la más conveniente, puesto que también se pueden considerar como
parámetros de calidad aspectos no directamente relacionados con los productos como, por ejemplo:
servicio postventa, periodo de garantía, imagen que el producto y el proveedor tengan en el mercado,
existencia de servicios de atención al cliente, etcétera. También se toman en cuenta del proveedor, su
prestigio, localización, instalaciones, fuerza técnica, capacidad financiera y nivel organizativo y de
administración.
2.4 Licenciamiento del Software
Es un contrato entre el licenciante (autor/titular de los derechos de explotación/distribuidor) y el
licenciatario del programa informático (usuario consumidor /usuario profesional o empresa), para utilizar el
software cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas.
Las licencias de software pueden establecer entre otras cosas: la cesión de determinados derechos del
propietario al usuario final sobre una o varias copias del programa informático, los límites en la
responsabilidad por fallos, el plazo de cesión de los derechos, el ámbito geográfico de validez del contrato
e incluso pueden establecer determinados compromisos del usuario final hacia el propietario, tales como la
no cesión del programa a terceros o la no reinstalación del programa en equipos distintos al que se instaló
originalmente.

2.4.1 Identificar los diferentes tipos de licenciamientos de software y

condiciones de uso

Elementos personales de una licencia de software

Licenciante

El licenciante o proveedor-licenciante es aquel que provee el software más la licencia al licenciatario, la cual,
le permitirá a este último tener ciertos derechos sobre el software. El rol de licenciante lo puede ejercer
cualquiera de los siguientes actores:

Autor: El desarrollador o conjunto de desarrolladores que crea el software, son por antonomasía
quienes en una primera instancia poseen el rol de licenciante, al ser los titulares originales del
software.
Titular de los derechos de explotación: Es la persona natural o jurídica que recibe una cesión de
los derechos de explotación de forma exclusiva del software desde un tercero, transformándolo en
titular derivado y licenciante del software.
Distribuidor: Es la persona jurídica a la cual se le otorga el derecho de distribución y la posibilidad
de generar sublicencias del software mediante la firma de un contrato de distribución con el titular
de los derechos de explotación.

Garantía de titularidad
Es la garantía ofrecida por el licenciante o propietario, en la cual, asegura que cuenta con suficientes
derechos de explotación sobre el software como para permitirle proveer una licencia al licenciatario.

Licenciatario

10
 Auditoria de Sistemas TI 2019
El licenciatario o usuario-licenciatario es aquella persona física o jurídica que se le permite ejercer el derecho
de uso más algún otro derecho de explotación sobre un determinado software cumpliendo las condiciones
establecidas por la licencia otorgada por el licenciante.
Usuario consumidor: Persona natural que recibe una licencia de software otorgada por el licenciante, la
cual, se encuentra en una posición desventajosa ante los términos y condiciones establecidas en ella.
Usuario profesional o empresa: Persona natural o jurídica que recibe una licencia de software otorgada por
el licenciante, la cual, se encuentra en igualdad de condiciones ante el licenciante para ejercer sus
derechos y deberes ante los términos y condiciones establecidos en la licencia.

Elementos objetivos de una licencia de software

Plazo

El plazo determina la duración en el tiempo durante la cual se mantienen vigentes los términos y
condiciones establecidos en licencia. Las licencias en base a sus plazos se pueden clasificar en:
Licencias con plazo específico.
Licencias de plazo indefinido.
Licencias sin especificación de plazo.
Precio

El precio determina el valor el cual debe ser pagado por el licenciatario al licenciante por el concepto de la
cesión de derechos establecidos en la licencia.

2.5 Evaluación de Hardware y Software

Cuando se utiliza el término Hardware se están englobando todos los aspectos materiales, es decir, que
se ―VEN‖ y se ―TOCAN‖ dentro la función informática de la Empresa.

Existen una serie de Objetivos de la Auditoria Informática del entorno Hardware:

Determinar si el Hardware se utiliza eficientemente
Revisar los Informes de la dirección sobre la utilización del Hardware.
Revisar el Inventario Hardware
Verificar los procedimientos de seguridad Física
Revisar si el equipo se utiliza por el personal Autorizado.
Comprobar las condiciones Ambientales
Comprobar los Procedimientos de Prevención, Detección, Corrección frente a cualquier tipo de
Desastre.

Evaluación del Software

La evaluación del Software en una empresa va a permitir determinar si este esta siendo bien utilizado
Revisar cada cuando se le da mantenimiento, y si el que se le brinda es confiable y seguro.
Si todos los cambios son suficientemente controlados.
El Auditor debe someter a evaluaciones periódicas el software operativo y deberá obtener resultados que
le permitan asegurarse de las fortalezas del Software.

24
 Auditoria de Sistemas TI 2019
2.5.1 Describir las características del Hardware y software apropiado para
tareas específicas

El Software de sistemas es un conjunto de programas que interactúan con el entre el hardware y el

software.

El software es el conjunto de instrucciones que las computadoras emplean para manipular datos. Sin el
software, la computadora sería un conjunto de medios sin utilizar.

Sus Componentes:
Procesamiento de texto
Bases de datos
Graficas
Servicios en línea
Programas

Características del Hardware para tareas Específicas

Sus Componentes son:
Teclado
Mouse
CPU
Monitor
Impresora
Memoria ROM
Memoria RAM

Consta de:
1.- Evaluación de los Sistemas
2.- Evaluación de los equipos
Capacidades
Utilización
Seguridad y evaluación física y lógica
3.- Evaluación de la Seguridad
4.-La seguridad en la informática
5.- La seguridad lógica

2.6 Evaluación de sistemas

La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de
información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un
buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información,
hardware y software).

25
 Auditoria de Sistemas TI 2019
2.6.1 Describir los pasos para evaluar los sistemas de información de acuerdo
al ciclo de vida

En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el
análisis.

Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales:
La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como
programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados
en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el
momento de la planeación.
Los requerimientos de los usuarios.
El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados,
sin importar si se efectuaron o se registraron.

2.6.2 Explicar los elementos de la evaluación de análisis de sistemas

En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el
análisis.

Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales:
La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como
programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados
en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el
momento de la planeación.

Los requerimientos de los usuarios.

El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados,
sin importar si se efectuaron o se registraron.

La situación de una aplicación en dicho inventario puede ser alguna de las siguientes:
Planeada para ser desarrollada en el futuro.
En desarrollo.
En proceso, pero con modificaciones en desarrollo.
En proceso con problemas detectados.
En proceso sin problemas.
En proceso esporádicamente.

2.6.3 Explicar los elementos de la evaluación del diseño lógico

En esta etapa se deberán analizar las especificaciones del sistema.

¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida
de reportes?

26
 Auditoria de Sistemas TI 2019
Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la
identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la
determinación de los procedimientos de operación y decisión.
Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está
obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está
obteniendo.

2.6.4 Explicar los elementos de la evaluación del desarrollo del sistema

En esta etapa se deberán analizar las especificaciones del sistema.

¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida
de reportes?

Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la
identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la
determinación de los procedimientos de operación y decisión.
Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está
obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está
obteniendo.

BASES DE DATOS.

Fases:
1. Análisis de requisitos.
2. Diseño conceptual.
3. Elección del sistema gestor de bases de datos.
4. Diseño lógico.
5. Diseño físico.
6. Instalación y mantenimiento.

La seguridad en Bases de Datos Está compuesta de

Control de acceso
Permisos y Privilegios
Definición de roles y perfiles
Control de Acceso a Bases de Datos:
Acceso al Sistema Operativo
Acceso a la Base de Datos
Acceso a los objetos de la base de datos

2.7 Evaluación de la red

2.7.1 Reconocer los elementos que debe contener una red local con base en el
estándar ANSI/TIA 569 A y B

27
 Auditoria de Sistemas TI 2019
ANSI/TIA/EIA-568-A
Alambrado de Telecomunicaciones para Edificios Comerciales
Este estándar define un sistema genérico de alambrado de telecomunicaciones para edificios comerciales
que puedan soportar un ambiente de productos y proveedores múltiples.

El propósito de este estándar es permitir el diseño e instalación del cableado de telecomunicaciones

contando con poca información acerca de los productos de telecomunicaciones que posteriormente se
instalarán.
La instalación de los sistemas de cableado durante el proceso de instalación y/o remodelación son
significativamente más baratos e implican menos interrupciones que después de ocupado el edificio
Esta norma guía la selección de sistemas de cableado al especificar los requisitos mínimos de sistemas y
componentes, y describe los métodos de pruebas de campo necesarios para satisfacer las normas.

Propósito del Estándar EIA/TIA 568-A:

Establecer un cableado estándar genérico de telecomunicaciones que respaldará un ambiente
multiproveedor.
Permitir la planeación e instalación de un sistema de cableado estructurado para construcciones
comerciales.
Establecer un criterio de ejecución y técnico para varias configuraciones de sistemas de cableado

El estándar especifica:
Requerimientos mínimos para cableado de telecomunicaciones dentro de un ambiente de oficina
Topología y distancias recomendadas
Parámetros de medios de comunicación que determinan el rendimiento
La vida productiva de los sistemas de telecomunicaciones por cable por más de 10 años (15
actualmente)

ANSI/TIA/EIA-568-B

El estándar TIA/EIA-568-B se publica por primera vez en 2001. Sustituyen al conjunto de estándares
TIA/EIA-568-A que han quedado obsoletos.

TIA/EIA-568-B tres estándares que tratan el cableado comercial para productos y servicios de
telecomunicaciones. Los tres estándares oficiales: ANSI/TIA/EIA-568-B.1-2001, -B.2-2001 y -B.3-2001.
El contenido de 568-B.3 se refiere a los requerimientos de rendimiento mecánico y de transmisión del
cable de fibra óptica, hardware de conexión, y cordones de conexión, incluyen el reconocimiento de la fibra
multi-modo y el uso de conectores de fibra de factor de forma pequeño
TIA/EIA 568-B.3

Cables de fibra
se reconoce la fibra de 50 mm
se reconocen tanto la fibra multimodo como la modo-simple para el área de trabajo

Conectores de fibra
el conector 568SC dúplex permanece como estándar en el área de trabajo
otros conectores pueden se usados en otro sitios

28
 Auditoria de Sistemas TI 2019
Deben con Fiber Optic Connector Intermateability Standard (FOCIS)

2.7.2 Reconocer los elementos que debe contener una red inalámbrica con base
en el estándar ANSI EIA/TIA 802.11x

Una red inalámbrica 802.11 está basada en una arquitectura celular en la que el sistema se divide en células
llamadas BSS (Basic Service Set). Cada célula está controlada por una estación base llamada AP (Access
Point).
Un sistema puede constar de una o varias células; en el caso pluricelular los diferentes AP se conectan
entre sí mediante un backbone llamado DS (Distribution System), típicamente Ethernet, aunque en
algunos casos también puede ser inalámbrico.

Todo este conjunto de células interconectadas se ve como una única red desde los protocolos de las
capas superiores, y se llama ESS (Extended Service Set). Cada ESS tiene un identificador conocido como
SSID, que debe ser el mismo en todos los AP del ESS.

El protocolo 802.11 puede utilizarse para soportar la conexión inalámbrica de puntos de acceso, de forma
que el sistema de distribución se vuelve inalámbrico. Esta opción recibe el nombre de WDS (Wireless

Distribution System). Los AP que soportan WDS pueden actuar con dos funciones: bridge inalámbrico o
repetidor.

El protocolo 802.11 define la capa física y la capa MAC. Hay distintas posibilidades para la capa física
dependiendo del tipo de red (a, b, g, h), e incluso distintas opciones dentro del mismo tipo. Actualmente el
tipo más común es el 802.11b, cuyas características de la capa física son:

La banda de frecuencia de 2,4 GHz.

El DSSS (Direct Sequence Spread Spectrum).
La codificación CCK (para las velocidades de 5,5 y 11 Mbit/s).

La capa MAC, además de la funcionalidad típica de estas capas, realiza funciones que normalmente se
implementan en capas superiores: fragmentación, retransmisión de paquetes, y asentimientos .Esto es así
debido a las características de los enlaces radio, con errores altos, que aconsejan un tamaño pequeño de
los paquetes, pero debiéndose preservar desde el punto de vista de las capas superiores los paquetes de
1.518 bytes típicos de Ethernet.

2.7.3 Reconocer normas para establecer un site de Telecomunicaciones (ANSI

EIA/TIA 569)

Estándar ANSI/TIA/EIA-569 de Rutas y Espacios de telecomunicaciones para Edificios Comerciales

El Grupo de Trabajo de la Asociación de Industrias de Telecomunicaciones (TIA)TR41.8.3 encargado de
Trayectorias & Espacios de Telecomunicaciones publicó la Norma ANSI/TIA/EIA-569-A ('569-A) en 1998.

29
 Auditoria de Sistemas TI 2019
Este estándar reconoce tres conceptos fundamentales relacionados con telecomunicaciones y
edificios:
Los edificios son dinámicos. Durante la existencia de un edificio, las remodelaciones son más la
regla que la excepción. Este estándar reconoce, de manera positiva, que el cambio ocurre.
Los sistemas de telecomunicaciones y de medios son dinámicos. Durante la existencia de un
edificio, los equipos de telecomunicaciones cambian dramáticamente. Este estándar reconoce
este hecho siendo tan independiente como sea posible de proveedores de equipo.
Telecomunicaciones es más que datos y voz. Telecomunicaciones también incorpora otros
sistemas tales como control ambiental, seguridad, audio, televisión, alarmas y sonido. De hecho,
telecomunicaciones incorpora todos los sistemas de bajo voltaje que transportan información en
los edificios.

A continuación los rasgos sobresalientes de la Norma '569-A:

Objetivo
Estandarizar las prácticas de construcción y diseño.
Provee un sistema de soporte de telecomunicaciones que es adaptable a cambios durante la vida útil de la
instalación.

Alcance
Trayectorias y espacios en los cuales se colocan y terminan medios de telecomunicaciones.
Trayectorias y espacios de telecomunicaciones dentro y entre edificios.
Diseño de edificios comerciales para viviendas unifamiliares y multifamiliares.

2.7.4 Reconocer el modelo OSI y el protocolo TCP/IP

El modelo de referencia de Interconexión de Sistemas Abiertos (OSI, Open System Interconnection) es el

modelo de red descriptivo creado por la Organización Internacional para la Estandarización lanzado en
1984. Es decir, es un marco de referencia para la definición de arquitecturas de interconexión de sistemas
de comunicaciones.

Capa física (Capa 1)

Es la que se encarga de las conexiones físicas de la computadora hacia la red, tanto en lo que se refiere al
medio físico como a la forma en la que se transmite la información.

Capa de enlace de datos (Capa 2)

Esta capa se ocupa del direccionamiento físico, de la topología de la red, del acceso a la red, de la
notificación de errores, de la distribución ordenada de tramas y del control del flujo.

Capa de red (Capa 3)

El objetivo de la capa de red es hacer que los datos lleguen desde el origen al destino, aún cuando ambos
no estén conectados directamente. Los dispositivos que facilitan tal tarea se denominan encaminadores,
aunque es más frecuente encontrar el nombre inglés routers y, en ocasiones enrutadores. Los routers

30
 Auditoria de Sistemas TI 2019
trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en determinados casos, dependiendo
de la función que se le asigne. Los firewalls actúan sobre esta capa principalmente, para descartar
direcciones de máquinas.

Capa de transporte (Capa 4)

Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del paquete) de la máquina
origen a la de destino, independizándolo del tipo de red física que se esté utilizando. La PDU de la capa 4
se llama Segmento o Datagrama, dependiendo de si corresponde a TCP o UDP. Sus protocolos son TCP y
UDP; el primero orientado a conexión y el otro sin conexión.

Capa de sesión (Capa 5)

Esta capa es la que se encarga de mantener y controlar el enlace establecido entre dos computadores que
están transmitiendo datos de cualquier índole.

Capa de presentación (Capa 6)

El objetivo es encargarse de la representación de la información, de manera que aunque distintos equipos

puedan tener diferentes representaciones internas de caracteres los datos lleguen de manera reconocible.

Capa de aplicación (Capa 7)

Ofrece a las aplicaciones la posibilidad de acceder a los servicios de las demás capas y define los protocolos
que utilizan las aplicaciones para intercambiar datos, como correo electrónico (POP y SMTP), gestores de
bases de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones distintas y
puesto que continuamente se desarrollan nuevas aplicaciones el número de protocolos crece sin parar.

Modelo TCP/IP
El Protocolo de Internet (IP) y el Protocolo de Transmisión (TCP), fueron desarrollados inicialmente en
1973 por el informático estadounidense Vinton Cerf como parte de un proyecto dirigido por el ingeniero
norteamericano Robert Kahn y patrocinado por la Agencia de Programas Avanzados de Investigación
(ARPA, siglas en inglés) del Departamento Estadounidense de Defensa. Internet comenzó siendo una red
informática de ARPA (llamada ARPAnet) que conectaba redes de ordenadores de varias universidades y
laboratorios en investigación en Estados Unidos. World Wibe Web se desarrolló en 1989 por el informático
británico Timothy Berners-Lee para el Consejo Europeo de Investigación Nuclear (CERN, siglas en francés).

DEFINICION TCP / IP
Se han desarrollado diferentes familias de protocolos para comunicación por red de datos para los
sistemas UNIX. El más ampliamente utilizado es el Internet Protocol Suite, comúnmente conocido como TCP
/ IP.

Es un protocolo DARPA que proporciona transmisión fiable de paquetes de datos sobre redes. El nombre
TCP / IP Proviene de dos protocolos importantes de la familia, el Transmission Control Protocol (TCP) y el

31
 Auditoria de Sistemas TI 2019
Internet Protocol (IP). Todos juntos llegan a ser más de 100 protocolos diferentes definidos en este conjunto.

Las capas están jerarquizadas. Cada capa se construye sobre su predecesora. El número de capas y, en
cada una de ellas, sus servicios y funciones son variables con cada tipo de red. Sin embargo, en cualquier
red, la misión de cada capa es proveer servicios a las capas superiores haciéndoles transparentes el modo
en que esos servicios se llevan a cabo. De esta manera, cada capa debe ocuparse exclusivamente de su
nivel inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente superior, a quien devuelve
resultados.

Capa 4 o capa de aplicación: Aplicación, asimilable a las capas 5 (sesión), 6 (presentación) y 7 (aplicación)
del modelo OSI.la capa de aplicación debía incluir los detalles de las capas de sesión y presentación OSI.
Crearon una capa de aplicación que maneja aspectos de representación, codificación y control de diálogo.

Capa 3 o capa de transporte: Transporte, asimilable a la capa 4 (transporte) del modelo OSI.

Capa 2 o capa de red: Internet, asimilable a la capa 3 (red) del modelo OSI.

Capa 1 o capa de enlace: Acceso al Medio, asimilable a la capa 1 (física) y 2 (enlace de datos) del
modelo OSI.

2.7.5 Describir la vulnerabilidad de las redes

El análisis de la vulnerabilidad, a veces llamado exploración de la vulnerabilidad, es el acto de determinar

qué agujeros y vulnerabilidades de la seguridad pueden ser aplicables a la red. Para hacer esto, examinamos
las máquinas identificadas dentro de la red para identificar todos los puertos abiertos y los sistemas
operativos y los usos que los anfitriones están funcionando (número de versión incluyendo, nivel del
remiendo, y paquete del servicio). Además, comparamos esta información con varias bases de datos de
la vulnerabilidad del Internet para comprobar qué vulnerabilidades y hazañas actuales pueden ser aplicables
a la red.

Dado el constreñimiento del tiempo nos podemos estar debajo durante un contrato y el número de anfitriones
dentro del alcance, puede ser necesario centrarse inicialmente en los anfitriones críticos. Sin embargo, si el
pelado abajo de la lista de la blanco necesita ser hecho, él se hace generalmente durante el paso siguiente.

Nota: Es importante tomar en la consideración que los resultados del silbido de bala autoritariamente no
demuestran a que un anfitrión está abajo. En la luz de esto, si hay alguna duda si el target(s) está filtrado o
protegido con eficacia contra silbido de bala o está realmente abajo, recomendamos el continuar con una
exploración portuaria. Mantenga el número de puertos tales exploraciones abajo que estas exploraciones
tiendan para tomar a una cantidad de tiempo más larga. Si es necesario explorar una gran cantidad de
puertos en los anfitriones insensibles, es el mejor hacer esto durante la noche.

En el extremo de esta etapa, tenemos gusto de poder documentar todos los anfitriones de la blanco (vivos
y de otra manera) en una tabla junto con el OS, el IP address, los usos corrientes, cualquier información de

32
 Auditoria de Sistemas TI 2019
la bandera disponible, y vulnerabilidades sabidas. Esta información es útil durante la etapa de la
explotación y para la presentación al cliente de modo que el cliente sea enterado de las vulnerabilidade s
en la red y la cantidad de información que un forastero puede recopilar antes de comprometer la red.

Identificación del OSI

Identificando el sistema operativo, podemos procurar predecir los servicios que pueden funcionar en el
anfitrión y adaptar nuestras exploraciones del puerto basadas en esta información. Nmap, la herramienta
principal usada para realizar la identificación del OS, hace esto analizando la respuesta del apilado del
TCP de la blanco a los paquetes que Nmap envió. Vario RFCs gobierna cómo el apilado del TCP debe
responder cuando está preguntado. Sin embargo, los detalles de la puesta en práctica se dejan al
vendedor. Por lo tanto, las diferencias en cómo los vendedores satisfacen el RFCs permiten que sean
identificados. Mientras que este método no es a toda prueba, la detección del OS de Nmap es bastante
confiable y aceptada bien por la industria. Cambiar la firma del OS de una computadora es posible pero no
trivial, y no ha sido nuestra experiencia que las compañías realizan este nivel de enmascarar.

La identificación del OS va una manera larga en la ejecución de la enumeración de la red y de la exploración

de la vulnerabilidad. Tan pronto como sepamos el OS de una máquina particular, podemos comenzar a
generar una lista de agujeros y de vulnerabilidades potenciales—a menudo de propio sitio del Web del
vendedor. Por ejemplo, tan pronto como sepamos una máquina es Windows NT, podemos comprobar si el
puerto 139 del TCP esté abierto y procurar una conexión nula a la parte del IP. Si identificamos una caja de
UNIX, podemos buscar los puertos de X Windows (6000–6063).

Enumeración Del Uso

De los resultados de la exploración portuaria, ganamos una lista de puertos abiertos en las máquinas
receptoras. Un puerto abierto no indica enteramente lo que puede ser activo el servicio que escucha. Los
puertos debajo de 1024 se han asignado a los varios servicios y si éstos se encuentran abiertos, indican
generalmente el servicio asignado. Además, otros usos se han funcionado en ciertos puertos para tan de
largo que se han convertido en el estándar de hecho, tal como puerto 65301 para el pcAnywhere y 26000
para el temblor. Por supuesto los administradores de sistema pueden cambiar el puerto que un servicio
funciona encendido en una tentativa ―de ocultarla‖ (un ejemplo de la seguridad con oscuridad). Por lo
tanto, procuramos conectar con el puerto abierto y asir una bandera para verificar el funcionamiento del
servicio.

Investigación Del Internet

Una vez que la lista de usos se sepa, el paso siguiente es investigar la lista y determinarse existen qué
vulnerabilidades. Mientras que usted realiza pruebas de penetración, usted hace familiar con ciertas
vulnerabilidades populares y puede determinarse rápidamente si un uso es vulnerable. Sin embargo, es
importante tener presente que las nuevas vulnerabilidades están fijadas sobre una base diaria, y usted debe
comprobar sus bases de datos preferidas de la vulnerabilidad para saber si hay todos los usos, servicios, y
sistemas operativos que usted encuentra en cada contrato.

33
 Auditoria de Sistemas TI 2019

2.7.6 Explicar la auditoria de la red física y lógica

Auditoria De La Red Física

Se debe garantizar que exista:

Áreas de equipo de comunicación con control de acceso.

Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.
Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el trafico
en ella.
Prioridad de recuperación del sistema.
Control de las líneas telefónicas.
Comprobando que:
El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
La seguridad física del equipo de comunicaciones sea adecuada.
Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas
telefónicas.
Las líneas de comunicación estén fuera de la vista.
Se dé un código a cada línea, en vez de una descripción física de la misma.
Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a
la red.
Existan revisiones periódicas de la red buscando pinchazos a la misma.
El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas.
Existan alternativas de respaldo de las comunicaciones.
Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas
configuradas con retrollamada, código de conexión o interruptores.

AUDITORIA LOGICA

En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar
mensajes hasta que satura por completo la red.

Para éste tipo de situaciones:

Se deben dar contraseñas de acceso.
Controlar los errores.
Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto,
regularmente se cambia la ruta de acceso de la información a la red.
Registrar las actividades de los usuarios en la red.
Encriptar la información pertinente.
Evitar la importación y exportación de datos.

Que se comprueban si:

El sistema pidió el nombre de usuario y la contraseña para cada sesión:

En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha
de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su
propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las

34
 Auditoria de Sistemas TI 2019
contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar
información sobre su última conexión a fin de evitar suplantaciones.
Inhabilitar el software o hardware con acceso libre.
Generar estadísticas de las tasas de errores y transmisión.
Crear protocolos con detección de errores.
Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes
duplicados, fuera de orden, perdidos o retrasados.
Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde
una terminal debidamente autorizada.
Se debe hacer un análisis del riesgode aplicaciones en los procesos.
Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes
organizaciones.
Asegurar que los datos que viajan por Internet vayan cifrados.
Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado
para impedir el acceso de equipos foráneos a la red.
Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.
Los accesos a servidores remotos han de estar inhabilitados.

La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en
cada una de las siguientes facetas:

Servidores = Desde dentro del servidor y de la red interna.

Servidores web.
Intranet = Desde dentro.
Firewall = Desde dentro.
Accesos del exterior y/o Internet.

35