La seguridad informática, también conocida como ciberseguridad o seguridad de tecnologías de la información, es el área relacionada con la informatica y la telematica que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida en una computadora o circulante a través de las redes de computadoras

OBJETIVOS

La seguridad informática debe establecer normas que minimicen los riesgos a la informacion o infraestructura informatica. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.

La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:

• La infraestructura computacional: es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en este área es velar por que los equipos funcionen adecuadamente y anticiparse en caso de fallos, robos, incendios, sabotajes, desastres naturales, fallos en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

• Los usuarios: son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.

• La información: esta es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.

Las amenazas pueden ser causadas por:

• Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobredimensionados, no se les han restringido acciones innecesarias, etc.

• Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. 

• Errores de programación: la mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas.

• Intrusos: personas que consiguen acceder a los datos o programas a los cuales no están autorizados

• siniestro: una mala manipulación o mala intención derivan en la pérdida del material o de los archivos.

• Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, , etc

Respaldo de la información

La información constituye el activo más importante de las empresas, pudiendo verse afectada por muchos factores tales como hurtos, incendios, fallas de disco, virus y otros. Desde el punto de vista de la empresa, uno de los problemas más importantes que debe resolver es la protección permanente de su información crítica.

Un buen sistema de respaldo debe contar con ciertas características indispensables:

• Continuo

El respaldo de datos debe ser completamente automático y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario.

• Seguro

Muchos softwares de respaldo incluyen cifrado de datos, lo cual debe ser hecho localmente en el equipo antes del envío de la información.

• Remoto

Los datos deben quedar alojados en dependencias alejadas de la empresa.

Dentro del diseño de sistemas, existen diversas características indicadoras de calidad, como lo son: 

1.  Diseño Usabilidad Control de versiones 
2.  Adaptabilidad Capacidad de integración Necesidad de mantenimiento 
3.  Manejo optimo de Base de Datos 
4.  Reutilización de código Lenguaje Paradigma de programación Modularidad

Un software de calidad es aquel que brinda soluciones claras alas necesidades del usuario, es amigable y de usabilidad obvia, soporta ciertos embastes del medio sin necesidad de grandes modifcaciones, que posee un lógica coherente con el pasar del tiempo y que a nivel de seguridad se encuentra bastante blindado ante riesgos propios de su tipo

La Auditoría de Sistemas cuenta con los siguientes métodos, técnicas, herramientas y procedimientos: Examen Inspección 

1.  Confrmación 
2.  Comparación 
3.  Revisión documental 
4.  Acta testimonial 
5.  Matriz de evaluación 
6.  Matriz DOFA

El Diseño de Sistemas se define el proceso de aplicar ciertas técnicas y principios con el propósito de definir un dispositivo, un proceso o un Sistema, con suficientes detalles como para permitir su interpretación y realización física. La etapa del Diseño del Sistema encierra cuatro etapas:
1. El diseño de los datos. 
Trasforma el modelo de dominio de la información, creado durante el análisis, en las estructuras de datos necesarios para implementar el Software.
2. El Diseño Arquitectónico. 
Define la relación entre cada uno de los elementos estructurales del programa.
3. El Diseño de la Interfaz. 
Describe como se comunica el Software consigo mismo, con los sistemas que operan junto con el y con los operadores y usuarios que lo emplean.
4. El Diseño de procedimientos. 
Transforma elementos estructurales de la arquitectura del programa. La importancia del Diseño del Software se puede definir en una sola palabra Calidad, dentro del diseño es donde se fomenta la calidad del Proyecto. El Diseño es la única manera de materializar con precisión los requerimientos del cliente.

El Diseño del Software es un proceso y un modelado a la vez. El proceso de Diseño es un conjunto de pasos repetitivos que permiten al diseñador describir todos los aspectos del Sistema a construir. A lo largo del diseño se evalúa la calidad del desarrollo del proyecto con un conjunto de revisiones técnicas:
El diseño debe implementar todos los requisitos explícitos contenidos en el modelo de análisis y debe acumular todos los requisitos implícitos que desea el cliente.

Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información: 

salvaguarda el activo empresarial, mantiene la integridad de los datos,  lleva a cabo eficazmente los fines de la organización,  utiliza eficientemente los recursos,  y cumple con las leyes y regulaciones establecidas.

Las técnicas son los procedimientos que se usan en el desarrollo de un proyecto de auditoría informática. Estas son algunas de las técnicas más comunes y aceptadas:

• Análisis y diseño estructurado
• Gráficas de Pert
• Gráficas de Gantt
• Documentación
• Programación estructurada
• Modulación de datos y procesos
• Entrevistas

Las herramientas de apoyo a la auditoria están orientadas a:
 •Incrementar la productividad y efectividad del auditor. 
• Efectuar auditorías con mayor valor agregado. 
• Estandarizar el proceso de los papeles de trabajo. 
• Homogeneizar el conocimiento de los auditores 
• Elevar el perfil del departamento de auditoria 
• Optimizar la emisi ón del informe de auditoria

Los cuestionarios es la herramienta punto de partida que permiten obtener información y documentación de todo el proceso de una organización, que piensa ser auditado.

La segunda herramienta a utilizar es la entrevista, en la que llega a obtener información más específica que la obtenida mediante cuestionarios, utilizando el método del interrogatorio, con preguntas variadas y sencillas, pero que han sido convenientemente elaboradas.

La tercera herramienta que se utiliza es el checklist, conjunto de preguntas respondidas en la mayoría de las veces oralmente, destinados principalmente a personal técnico. Por estos motivos deben ser realizadas en un orden determinado, muy sistematizadas, coherentes y clasificadas por materias, permitiendo que el auditado responda claramente.

Existen dos tipos de filosofía en la generación de checklists:

• De rango: las preguntas han de ser puntuadas en un rango establecido (por ejemplo de 1 a 5, siendo 1 la respuesta más negativa y 5 la más positiva)
• Binaria: las respuestas sólo tienen dos valores (de ahí su nombre) cuya respuesta puede ser Si o No.

Entre las herramientas de auditoria mas utilizadas podemos destacar 
1. COBIT
2. ITIL
3. ISO

De negocio y TI a nivel de: De negocio y TI a nivel de: 

- Dirección ejecutiva 

- Procesos de negocio 

- Soporte de los procesos de negocio

Las herramientas son el conjunto de elementos que permiten llevar a cabo las acciones definidas en las técnicas

Informes especiales dentro de la Auditoria en sistemas / Esquema 

La aplicación de procedimientos de auditoría puede requerir que el auditor considere el uso de técnicas de auditoría desarrolladas con la ayuda del computador (TAACs) que utilizan el computador como una herramienta de auditoría (Ejemplos, El uso de Excel o ACL).

Los pasos principales que debe tomar el auditor en la aplicación de una TAAC son:

• Establecer el propósito al cual nos conlleva la aplicación de la TAAC,
• Determinar el contenido y accesibilidad de los archivos de la entidad,
• Identificar las bases de datos que a examinar,
• Definir las pruebas o procedimientos específicos y transacciones relacionadas,
• Definir los requerimientos de datos de salida,
• Identificar al personal que participará en el diseño y aplicación de la TAAC,
• Refinar las estimaciones de costos y beneficios,
• Asegurarse que el uso de la TAAC está controlado y documentado adecuadamente,
• Organizar las actividades administrativas, incluyendo las habilidades necesarias e instalaciones de computación,
• Conciliar los datos que deban usarse para la TAAC con los registros contables,
• Ejecutar la aplicación de la TAAC, y
• Evaluar los resultados.

Efectividad y eficiencia.

La efectividad y eficiencia de los procedimientos de auditoría pueden mejorarse usando las TAACs para obtener y evaluar la evidencia de auditoría. Las TAACs son a menudo un medio eficiente de poner a prueba un gran número de transacciones o controles sobre grandes volúmenes por medio de:

• Analizar y seleccionar muestras de un gran volumen de transacciones,
• Aplicar procedimientos analíticos y
• Desarrollar procedimientos sustantivos.

Procedimientos de auditoría en los que pueden en los que pueden utilizarse las TAAC:

• Pruebas de detalles de transacciones y saldos, por ejemplo, el uso de software de auditoría para recalcular los intereses o la extracción de facturas por encima de un cierto valor de los registros de computadora;
• Procedimientos analíticos, por ejemplo, identificar inconsistencias o fluctuaciones importantes;
• Pruebas de controles generales, por ejemplo, pruebas de la instalación o configuración del sistema operativo o procedimientos de acceso a las bibliotecas de programas o el uso de software de comparación de códigos para verificar que la versión del programa en uso es la versión aprobada por la administración;
• Muestreo de programas para extraer datos para pruebas de auditoría;
• Pruebas de controles de aplicación, por ejemplo, pruebas del funcionamiento de un control programado; y
• Rehacer cálculos realizados por los sistemas de contabilidad de la entida

INICIEMOS COMPRENDIENDO MAS DE LAS CLASES DE AUDITORIA EN SISTEMAS MEDIANTE  UN VÍDEO EL CUAL NOS AMPLIA .....

Tip

•  Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc. 
•  Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. 
•  Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. 
•  Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. 
•  Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. 
•  Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. 
•  Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. 
•  Auditoría de las comunicaciones: Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. 
•  Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

Identificar el origen de la auditoria: 

Este es el primer paso para iniciar la planeación de la auditoria, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿porqué?, ¿Quién? o ¿para qué? Se quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.

Visita Preliminar al Área informática: 

Este es el segundo paso en la planeación de la auditoria y consiste en realizar una visita preliminar al área de informática que será auditada, luego de conocer el origen de la petición de realizar la auditoria y antes de iniciarla formalmente; el propósito es el de tener un primer contacto con el personal asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los servidores y equipos terminales en el centro de cómputo, sus características, las medidas de seguridad y otros aspectos sobre que problemáticas  que se presentan en el área auditada.

Establecer los Objetivos de la Auditoria: 

- El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende evaluar.

- Los objetivos específicos que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.   

Determinar los Puntos que serán evaluados: 

Una vez determinados los objetivos de la auditoria se debe relacionar los  aspectos  que serán evaluados,  y para esto se debe considerar aspectos específicos del área informática y de los sistemas computacionales tales como: la gestión administrativa del área informática y el centro de cómputo, el cumplimiento de las funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la operación de los sistemas en producción, los programas de capacitación para el personal del área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y accesos a las mismas, protección de las copias de seguridad y la restauración de la información, entre otros aspectos.

Elaborar Planes, programas y Presupuestos para Realizar la auditoria: 

Para realizar la planeación formal de la auditoria informática y de sistemas, en la cual se concretan los planes, programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales para el desarrollo de la auditoria,  donde se delimiten las etapas, eventos y actividades y los tiempos de ejecución para el cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos que se utilizarán para llevarla a cabo.

Algunos de los aspectos a tener en cuenta serán: 

Las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos; El flujo de eventos que sirven de guía; la estimación de los recursos humanos, materiales e informáticos que serán utilizados; los tiempos estimados para las actividades y para la auditoria; los auditores responsables y participantes de las actividades; Otras especificaciones del programa de auditoría.

Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos necesarios para la Auditoria: 

En este se  determina la documentación y medios necesarios para llevar a cabo la revisión y evaluación en la empresa, seleccionando o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas establecidos anteriormente para la auditoria. Para ello se debe considerar los siguientes puntos: establecer la guía de ponderación de cada uno de los puntos que se debe evaluar; Elaborar una guía de la auditoria; elaborar el documento formal de la guía de auditoría; determinar las herramientas, métodos y procedimientos para la auditoria de sistemas; Diseñar los sistemas, programas y métodos de pruebas para la auditoria.

Asignar los Recursos y Sistemas computacionales para la auditoria: Finalmente se debe asignar los recursos que serán utilizados para realizar la auditoria. Con la asignación de estos recursos humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará a cabo la auditoria.

  Etapa de Ejecución de la Auditoria

La siguiente etapa después de la planeación de la auditoria es la ejecución de la misma, y está determinada por las características propias, los puntos elegidos y los requerimientos estimados en la planeación.

 Etapa de Dictamen de la Auditoria

La tercera etapa Lugo de la planeación y ejecución es emitir el dictamen, que es el resultado final de la auditoria, donde se presentan los siguientes puntos: la elaboración del informe de las situaciones que se han detectado, la elaboración del dictamen final y la presentación del informe de auditoría.

Analizar la información y elaborar un informe de las situaciones detectadas: Junto con la detección de  las oportunidades de mejoramiento se debe realizar el análisis de los papeles de trabajo y la elaboración del borrador de las oportunidades detectadas, para ser discutidas con los auditados, después se hacen las modificaciones necesarias y posteriormente el informe final de las situaciones detectadas.

Elaborar el Dictamen Final: El auditor debe terminar la elaboración del informe final de auditoría y complementarlo con el dictamen final, para después presentarlo a los directivos del área auditada para que conozcan la situación actual del área, antes de presentarlo al representante o gerente de la empresa.

Una vez comentadas las desviaciones con los auditados, se elabora el informe final, lo cual es garantía de que los auditados ya aceptaron las desviaciones encontradas y que luego se llevan a documentos formales.

Elaborar el Dictamen Formal: 

El último paso de esta metodología es presentar formalmente el informe y el dictamen de la auditoria al más alto de los directivos de la empresa donde se informa de los resultados de la auditoria. Tanto el informe como el dictamen deben presentarse en forma resumida, correcta y profesional. La presentación de la misma se hace en una reunión directiva y por eso es indispensable usar un lenguaje claro tanto en el informe como en la exposición del mismo. El informe debe contener los siguientes puntos: la carta de presentación, el dictamen de la auditoria, el informe de situaciones relevantes y los anexos y cuadros estadísticos.