Aplicación de la norma ISO 27002 para mejorar la seguridad de la información de la empresa COMPURED SAC
151
0
0
Texto completo
(2) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. DEDICATORIA. S. A Dios todo poderoso por estar siempre junto a mí, guiarme en cada paso que. CA. doy, proteger mi camino siempre, por darme la oportunidad de seguir adelante y la fortaleza que necesito en el afán de descubrir nuevos caminos. ÍS I. de conocimiento y sabiduría.. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. A mi madre, Julia Ruiz, por ser ese gran ejemplo de lucha y perseverancia, por todas las enseñanzas de vida, sus sacrificios, su inmenso amor, paciencia, apoyo incondicional y por motivarme día a día a seguir adelante y no rendirme frente a las diversas adversidades.. A Yrma, por ser uno de los grandes pilares en la formación de mi vida académica y profesional, además agradecerle por el inmenso cariño, paciencia, compresión, sabios consejos y motivación para siempre seguir adelante persiguiendo mis metas y objetivos.. A Marines y Julito, quienes, a pesar de encontrarse lejos físicamente, fueron un gran impulso y motivación para seguir perseverando.. TE. A Nelly, Norberto, mis primos y primas, por el gran apoyo brindado cuando más. IO. lo necesitaba y hacerme un miembro más de su gran familia.. BL. A papá Julio Ayay, Nino Araya, mi primo y tío Julio Diaz, quienes desde el cielo. BI. siempre derramaron bendiciones. I. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(3) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. A mis dos grandes amigos Carito Segura y Juan Grados, gracias por su apoyo incondicional en cada proyecto embarcado.. ÍS I. CA. S. A todos ellos les agradezco de todo corazón.. BI. BL. IO. TE. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. “Erik Ivan Gutierrez Ruiz”. II. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(4) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. A ti, Dios, sea dada toda alabanza, toda honra, toda gloria, aquí y en todos los rincones del universo. Gracias por ser mi fortaleza, por darme las fuerzas nece-. S. sarias para salir adelante, por levantarme cuando sentí caer y lograr todo lo que. CA. me he propuesto. Sin ti nada de esto hubiese sido posible, gracias por siempre. ÍS I. estar conmigo.. Papá, la vida no me alcanzará para retribuir todo lo que has hecho por mí, eres mi. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. ejemplo de lucha y de que todo lo puedo lograr. Solo te doy las gracias por todos sus consejos y porque eres el ejemplo de muchos hombres trabajadores, que a pesar de las dificultades que da la vida, has sabido salir adelante. A mis abuelitos paternos, que Dios los tenga en la gloria. ustedes son mis ángeles, yo sé que ustedes siempre están a mi lado, guiando cada paso que doy, los amo y siempre estarán en mi corazón.. A mis hermanos, Roberto, Julio, Olga, Oscar y Melissa, Dios nos ha bendecido siendo tantos para que siempre nos mantengamos unidos, gracias por ser realmente mis ejemplos a seguir, cada uno en su especialidad ha sabido salir adelante y. TE. han logrado poco a poco ser los mejores en lo que hacen. Y en especial a ti hermana Giovanna por haber sido mi segunda madre, por ser mi ejemplo de fortaleza de. III. BI. BL. IO. lucha constante. Los amo hermanos.. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(5) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. A mis sobrinos, Melanie, Jairo, Said, Nataly, Mateo, Ariana y Abby, por darme el mejor regalo de todos que es su amor y su cariño, por ser personas tan especia-. S. les que espero ser un buen ejemplo para todos ustedes. Y a ti mi Aaroncito,. CA. porque a tu corta edad, me enseñaste como poder luchar en la vida y a no. ÍS I. ahogarme en problemas en problemas tan superficiales, eres el hombrecito más. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. fuerte que pueda existir, eres el amor de Dios hecho hombre. Los amo a todos.. BI. BL. IO. TE. “Rulber Tito Velásquez Vásquez”. IV. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(6) BI. BL. IO. TE. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. ÍS I. CA. S. Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(7) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Resumen. S. El presente estudio tiene como objetivo general determinar la influencia d e la. CA. norma ISO 27002 en la seguridad de la información de la empresa COMPURED. ÍS I. SAC para que la información de esta sea segura. Para ello se aplicaron instrumentos de recolección de datos para determinar la importancia de la seguridad de la. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. información en la empresa. El estudio implicó utilizar una guía de observación con ayuda de los trabajadores involucrados en la seguridad de la información de la empresa COMPURED SAC, mapeandose los procesos de la empresa para identificar las deficientes prácticas de seguridad de la información. Con la información se creó una ficha resumen que mostraba el estado de los indicadores de. acuerdo. a las. dimensiones. de. la. seguridad. de. la. información:. Confidencialidad, Integridad y Disponibilidad. Los datos encontrados se plasmaron en una tabla donde se mostró el estado de la seguridad de la información después de la implementación de la norma ISO 27002, para después compáralo con su estado antes de realizar el presente estudio y finalmente evaluar. TE. el porcentaje de mejora de la seguridad de la información.. IO. Palabras claves:. BL. Control, riesgo, factores internos y externos, seguimiento, mejoramiento, mo-. BI. nitoreo, ISO, información, seguridad. V. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(8) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Abstract. S. The purpose of this study is determine the influence of the ISO 27002 on the. CA. information security of the company COMPUTER SAC to keep the company’s. ÍS I. information safe. For this purpose, data collection instrument were applied to determine the importance of information security in the company. The study. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. implied used an observation guide with involved employees’s help in the COMPUTER SAC company’s information security to define the reality of the company regarding the information security, mapping the poor information security practices. With this information, a file was created with the resume that showed up the indicators status according to the information security dimensions: Confidentiality, integrity and availability.Data found out was reflected in a table where showed up the information security status of the information after ISO27002 implementation to compare it with the status previous of this study and finally evaluating the improvement percent of the information security.. TE. Keywords:. IO. Control, risk, internal and external factors, tracing, improvement, monitoring,. BI. BL. ISO, information, security.. VI. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(9) S. Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. ÍS I. CA. Índice de figuras. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. 2.1. Esquema básico de una metodología de análisis de riesgos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 29. 2.3. EBIOS enfoque globa.l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 30. 2.4. Ejemplo de Roseta de Marion. . . . . . . . . . . . . . . . . . . . . . . . . . .. 33. 2.5. Ejemplo de Histograma de Marion. . . . . . . . . . . . . . . . . . . . . . . . .. 33. 2.6. Esquema general del Método Mehari. . . . . . . . . . . . . . . . . . . . . . .. 35. 2.7. Esquema general del Método Mehari. . . . . . . . . . . . . . . . . . . . . . .. 37. 2.8. Gráfica de Investigación Pre experimental. . . . . . . . . . . . . . . . . . . . .. 59. 3.1. Organigrama de COMPURED SAC. . . . . . . . . . . . . . . . . . . . . . . .. 64. 3.2. Proceso Comercial de la empresa COMPURED SAC. . . . . . . . . . . . . . .. 65. 3.3. Ficha de Proceso Comercial de la empresa COMPURED SAC. . . . . . . . . .. 65. 3.4. Proceso de Programación de la empresa COMPURED SAC. . . . . . . . . . .. 66. IO. TE. 2.2. Comparación de Normas.. 28. BL. 3.5. Ficha de Proceso de Programación de la empresa COMPURED SAC. . . . . .. BI. 3.6. Proceso de Contratación de la empresa COMPURED SAC. . . . . . . . . . . .. 67 68. VII. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(10) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 68. 3.8. Proceso de Desvinculación de la empresa COMPURED SAC. . . . . . . . . .. 69. 3.9. Ficha de proceso de Desvinculación de la empresa COMPURED SAC. . . . . .. 70. 3.10. Proceso Contable de la empresa COMPURED SAC. . . . . . . . . . . . . . .. 70. 3.11. Ficha de Proceso Contable de la empresa COMPURED SAC. . . . . . . . . . .. 71. ÍS I. CA. S. 3.7. Ficha de Proceso de Contratación de la empresa COMPURED SAC. . . . . . .. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. 3.12. Ficha Resumen de Confidencialidad de la Información en los Procesos en la empresa COMPURED SAC. . . . . . . . . . . . . . . . . . . . . . . . . . . .. 72. 3.13. Ficha Resumen de Integridad en los Procesos en la empresa COMPURED SAC.. 72. 3.14. Ficha Resumen de Disponibilidad en los Procesos en la empresa COMPURED SAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 73. 3.15. Resultados Obtenidos Pre Implementación. . . . . . . . . . . . . . . . . . . .. 74. 3.16. Esquema de Seguridad de la Información de la empresa COMPURED SAC sin implementar la norma ISO 27002. . . . . . . . . . . . . . . . . . . . . . . . .. 75. 3.17. Proceso Comercial de la empresa COMPURED SAC después de la Implementación de la Norma ISO 27002.. . . . . . . . . . . . . . . . . . . . . . . . . .. 90. TE. 3.18. Ficha de Proceso Comercial de la empresa COMPURED SAC Post Implementación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 91. IO. 3.19. Proceso de Programación de la empresa COMPURED SAC después de la Im-. BI. BL. plementación de la Norma ISO 27002. . . . . . . . . . . . . . . . . . . . . . .. 92. VIII. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(11) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 3.20. Ficha de Proceso de Programación de la empresa COMPURED SAC Post Implementación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 93. S. 3.21. Proceso de Contratación de la empresa COMPURED SAC después de la Im-. CA. plementación de la Norma ISO 27002. . . . . . . . . . . . . . . . . . . . . . .. 94. ÍS I. 3.22. Ficha de Proceso de Contratación de la empresa COMPURED SAC Post Im-. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. plementación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 95. 3.23. Proceso de Desvinculación de la empresa COMPURED SAC después de la Implementación de la Norma ISO 27002. . . . . . . . . . . . . . . . . . . . .. 96. 3.24. Ficha de Proceso de Desvinculación de la empresa COMPURED SAC Post Implementación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 97. 3.25. Proceso Contable de la empresa COMPURED SAC después de la Implementación de la Norma ISO 27002.. . . . . . . . . . . . . . . . . . . . . . . . . . .. 98. 3.26. Ficha de Proceso Contable de la empresa COMPURED SAC Post Implementación.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 98. 3.27. Ficha Resumen de Confidencialidad de la Información en los Procesos en la. TE. empresa COMPURED SAC después de la implementación. . . . . . . . . . . . 100 3.28. Ficha Resumen de Integridad de la Información en los Procesos en la empresa. BI. BL. IO. COMPURED SAC después de la implementación. . . . . . . . . . . . . . . . 100. IX. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(12) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 3.29. Ficha Resumen de Disponibilidad de la Información en los Procesos en la empresa COMPURED SAC después de la implementación. . . . . . . . . . . . . 101. CA. S. 3.30. Evaluación Post-Implementación. . . . . . . . . . . . . . . . . . . . . . . . . 102. ÍS I. 4.1. Comparación post-implementación. . . . . . . . . . . . . . . . . . . . . . . . 104 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111. D.1.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125. E.1.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126. F.1.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127. G.1.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128. H.1.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129. I.1.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130. BI. BL. IO. TE. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. A.1.. X. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(13) S. Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. ÍS I. CA. Índice de tablas. 27. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. 2.1. Cuadro Comparativo de las Metodologías . . . . . . . . . . . . . . . . . . . . C.1. Guía de Observación:Políticas Seguridad,Organización de la seguridad de la información,Seguridad de los Recursos Humanos.. . . . . . . . . . . . . . . . 115. C.2. Guía de Observación1: Gestión de Activos. . . . . . . . . . . . . . . . . . . . 116 C.3. Guía de Observación1: Control de Accesos. . . . . . . . . . . . . . . . . . . . 117 C.4. Guía de Observación1: Cifrado. . . . . . . . . . . . . . . . . . . . . . . . . . 118 C.5. Guía de Observación1: Seguridad física y Ambiental. . . . . . . . . . . . . . . 119 C.6. Guía de Observación : Seguridad en la Operativa. . . . . . . . . . . . . . . . . 120 C.7. Guía de Observación:Seguridad en las Telecomunicaciones. . . . . . . . . . . . 121 C.8. Guía de Observación:Adquisición, desarrollo y Mantenimiento de los sistemas. TE. de información. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122. IO. C.9. Guía de Observación:Relaciones con Suministradores. . . . . . . . . . . . . . 123. BL. C.10. Guía de Observación:Aspectos de la SI en la Gestión de la Continuidad de Ne-. BI. gocio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 XI. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(14) S. Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Resumen Abstract. ÍS I CA Y M DE AT C EM IEN ÁT CI IC AS AS F. Dedicatoria. CA. Índice general. Índice de Figuras Índice de Tablas. 1. INTRODUCCIÓN. I. V. VI. X. XII. 1 2. 1.2. Formulación del Problema . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 4. 1.3. Hipótesis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 4. 1.4. Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 4. IO. TE. 1.1. Justificación de la investigación . . . . . . . . . . . . . . . . . . . . . . . . . .. BI. BL. 1.4.1. Objetivos Generales . . . . . . . . . . . . . . . . . . . . . . . . . . .. 4. XII. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(15) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 5. 1.5. Estructura de la Tesis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 5. S. 1.4.2. Objetivos Específicos . . . . . . . . . . . . . . . . . . . . . . . . . . .. CA. 2. MATERIALES Y MÉTODOS. 7 7. 2.1.1. Seguridad de la Información . . . . . . . . . . . . . . . . . . . . . . .. 7. 2.1.2. Confidencialidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 8. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. ÍS I. 2.1. Marco Teórico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 2.1.3. Integridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 9. 2.1.4. Disponibilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 9. 2.1.5. Sistema de Gestión de Seguridad de la Información . . . . . . . . . . .. 10. 2.1.6. Auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 11. 2.1.6.1.. Tipos de Auditoría . . . . . . . . . . . . . . . . . . . . . . . Auditoría Financiera . . . . . . . . . . . . . . . .. 13. 2.1.6.1.2.. Auditoría Organizativa . . . . . . . . . . . . . . .. 14. 2.1.6.1.3.. Auditoría Operacional . . . . . . . . . . . . . . . .. 14. 2.1.6.1.4.. Auditoría Informática . . . . . . . . . . . . . . . .. 15. 2.1.7. Síntomas de Necesidad de una Auditoría Informática . . . . . . . . . .. 17. 2.1.8. Herramientas y Técnicas . . . . . . . . . . . . . . . . . . . . . . . . .. 19. IO. TE. 2.1.6.1.1.. BL BI. 12. 2.1.8.1.. Metodologías de Evaluación . . . . . . . . . . . . . . . . .. 25. 2.1.8.2.. Metodologías de Análisis de Riesgos . . . . . . . . . . . . .. 26. XIII. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(16) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 39. 2.1.10. ISO 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 46. 2.1.10.1. Políticas de Seguridad . . . . . . . . . . . . . . . . . . . . .. 47. 2.1.10.2. Organización . . . . . . . . . . . . . . . . . . . . . . . . . .. 49. 2.1.10.3. Recursos Humanos . . . . . . . . . . . . . . . . . . . . . .. 49 51. 2.1.10.5. Accesos . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 52. 2.1.10.6. Cifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 53. 2.1.10.7. Física y Ambiental . . . . . . . . . . . . . . . . . . . . . . .. 53. 2.1.10.8. Operativas . . . . . . . . . . . . . . . . . . . . . . . . . . .. 54. 2.1.10.9. Telecomunicaciones. . . . . . . . . . . . . . . . . . . . . .. 55. 2.1.10.10. Adquisición, Desarrollo y Mantenimiento . . . . . . . . . .. 56. 2.1.10.11. Suministradores . . . . . . . . . . . . . . . . . . . . . . . .. 56. 2.1.10.12. Incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . .. 57. 2.1.10.13. Continuidad . . . . . . . . . . . . . . . . . . . . . . . . . .. 57. 2.1.10.14. Cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . .. 59. TE. 2.1.10.4. Activos . . . . . . . . . . . . . . . . . . . . . . . . . . . .. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. ÍS I. CA. S. 2.1.9. Deontología del Auditor Informático . . . . . . . . . . . . . . . . . . .. 59. 2.2.1. Tipo de Diseño de Investigación . . . . . . . . . . . . . . . . . . . . .. 59. 2.2.2. Material . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 60. BI. BL. IO. 2.2. Método de la Investigación . . . . . . . . . . . . . . . . . . . . . . . . . . . .. XIV. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(17) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Unidad de Estudio . . . . . . . . . . . . . . . . . . . . . . .. 60. 2.2.2.2.. Población . . . . . . . . . . . . . . . . . . . . . . . . . . .. 60. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 60. 2.2.3.1.. Técnicas de Recolección de Datos y Análisis de Datos . . . .. 60. 2.2.3.2.. Procedimientos . . . . . . . . . . . . . . . . . . . . . . . .. 61. CA. ÍS I. 2.2.3. Métodos. S. 2.2.2.1.. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. 3. APLICACIÓN DE LA NORMA ISO 27002 PARA MEJORAR LA SEGURIDAD 63. 3.1.. Aspectos Generales de la Empresa Caso Estudio . . . . . . . . . . . . . . . .. 63. 3.1.1. Descripción de la Actividad . . . . . . . . . . . . . . . . . . . . . . .. 63. 3.1.2. Organigrama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 64. 3.2. Análisis Pre-Implementación . . . . . . . . . . . . . . . . . . . . . . . . . . .. 64. 3.3. Diagnostico de Datos Recolectados . . . . . . . . . . . . . . . . . . . . . . . .. 73. 3.4. Implementación de la Norma ISO 27002 . . . . . . . . . . . . . . . . . . . . .. 76. 3.4.1. Políticas De Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . .. 76. 3.4.2. Organización de la Seguridad de la Información . . . . . . . . . . . . .. 84. 3.4.3. Recursos Humanos . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 85. 3.4.4. Gestión de Activos . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 87. IO. TE. DE LA INFORMACIÓN DE LA EMPRESA COMPURED SAC. BL. 3.4.5. Control de Accesos . . . . . . . . . . . . . . . . . . . . . . . . . . . .. BI. 3.4.6. Cifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 87 89. XV. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(18) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 3.4.7. Seguridad en la Telecomunicaciones . . . . . . . . . . . . . . . . . . .. 89. 3.5. Evaluación de la seguridad de la Información post-implementación de la norma. CA. S. ISO 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. RESULTADO Y DISCUSIÓN DE LA TESIS. 90 103. ÍS I. 4.1. Discusión de Resultado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. 5. CONSIDERACIONES FINALES. 106. 5.1. Conclusión y Recomendaciones . . . . . . . . . . . . . . . . . . . . . . . . . 106 REFERENCIA BIBLIOGRAFICA. 108. A. Origen de incidentes de Seguridad en Latinoamérica.. 111. B. Entrevista al Gerente General de la empresa COMPURED SAC.. 112. C. Guía de Observación para actores involucrados en la Seguridad de la Información 114. D. Interfaz de Inicio de INCIBE.. 125. TE. de la empresa COMPURED SAC.. 126. IO. E. Interfaz de Spiceworks.. BI. BL. F. Creación de Usuario de Directorio Activo de Windows Server 2012.. 127. XVI. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(19) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 128. H. Encriptación de archivo usando AxCrypt.. 129. S. G. Utilización de AxCrypt.. 130. BI. BL. IO. TE. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. ÍS I. CA. I. Interfaz de URL Void.. XVII. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(20) S. Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. CA. Capítulo 1. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. ÍS I. INTRODUCCIÓN. En los últimos años la seguridad de la información ha adquirido una mayor relevancia en las empresas puesto que el número de ataques informáticos a las empresas ha aumentado. Según Corporación Colombia Digital (2013) indica que los datos encontrados en empresas norteamericanas, británicas, alemanas y australianas, solo el 35 % de estas identifica un ataque informático en cuestión de minutos; el 22 % requiere al menos de un día para notarlo; y un 5 % indicó que necesita por lo menos una semana para poder detectar amenazas.. Según un gráfico p ublicado p or S abrina P agnotita ( 2014) I ndica q ue r especto a Latinoamérica el origen de incidentes de seguridad de la información son representados mayormente. TE. por ex empleados, actuales empleados y cibercriminales con un porcentaje de incidentes de 38,85 % , 34,53 % y 28,22 % respectivamente (Ver Anexo A). Además, según el diario El Co-. IO. mercio (2015) "El Perú sufre más de 4 millones de intentos de hacking por año". Se podría. BI. BL. decir que actualmente hay muchas formas relativamente fáciles de acceder a la información de 1. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(21) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. organizaciones que no estén bien protegidas, causando graves perjuicios para la empresa. En el campo de la auditoría informática resulta tedioso elaborar los cuestionarios para dicha. CA. S. realización, basados en las diferentes normas como: ISO12207, ISO17799; y estándares debi-. realización de auditoría informática.. Justificación de la investigación. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. 1.1.. ÍS I. do a la amplitud de estas. Además de la gran demanda de tiempo que conlleva el proceso de. Aguirre and Aristizabal (2013) concluyeron que para poder brindar un nivel aceptable de seguridad a la compañía, todo SGSI se debe basar en estándares y buenas prácticas orientadas a seguridad de la información que indican las consideraciones que debemos tener en diferentes aspectos.. Este antecedente se relaciona con la presente tesis porque muestra que aplicar la norma ISO 27002 (norma ISO enfocada en las buenas prácticas de la seguridad de la información), como una forma de implementar un SGSI, es ideal porque se enfoca a las necesidades de seguridad de cada empresa.. TE. Romo and Valarezo (2012) concluyó que con el manual de Políticas de Seguridad de la. IO. Información y con el cumplimiento de las mismas da lugar a minimizar los riesgos asociados a. BI. BL. los activos reduciendo impactos, fuga de información y pérdidas económicas originados por la. 2. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(22) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. carencia de las normas. Este antecedente se relaciona con la presente tesis porque se demuestra que la implementa-. CA. S. ción de la norma ISO 27002 que se implementó en ese estudio, presentó un impacto positivo, mejorando así el nivel de la confidencialidad, así como también minimizando las pérdidas eco-. ÍS I. nómicas, los cuales conllevaría alguna fuga de información.. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. Santa María (2012) en su tesis titulada “Buenas Practicas para auditar redes inalámbricas aplicadas a las empresas del rubro hotelero de la ciudad de Chiclayo” publicado por Universidad Católica Santo Toribio de Mogrovejo, en Chiclayo, Perú concluyó que al realizar un estudio de las empresas del rubro hotelero de la ciudad de Chiclayo, se pudo aplicar las buenas practicas al hotel en estudio, logrando hacer un análisis de las redes inalámbricas actuales, detectando las fallas e implementando controles que permitieron mejorar la disponibilidad, confiabilidad e integridad de la información.. Este antecedente se relaciona con la presente tesis porque mostró que cotejando las metodologías, manuales y buenas prácticas nacionales e internacionales, dentro de las cuales están. TE. las Normas ISO 27001 e ISO 27002, se pudo mejorar las tres dimensiones por la cual está compuesta la seguridad de la información, haciendo posible mejorar el flujo de información de una. BI. BL. IO. manera segura para la empresa.. 3. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(23) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 1.2.. Formulación del Problema. Hipótesis. CA. 1.3.. S. ¿Cómo mejorar la seguridad de información de la empresa COMPURED SAC?. ÍS I. El progreso de la tecnología de la computación y la informática, está mejorando día a día,. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. esto a la vez genera problemas en el desarrollo de oportunidades y lleva a cometer errores. Entonces para que no suceda es necesario revisar e inspeccionar los proyectos para poder brindar un mejor control de la información, salvaguardando el activo empresarial, manteniendo la integridad de los datos y cumpliendo con las leyes y regulaciones establecidas. Debido a la probabilidad de cometer errores es sugerido a las instituciones que estén bajo inspección por lo menos una vez al año implementando normas de Seguridad de la Información aprobadas a nivel nacional y/o internacional.. Objetivos. 1.4.1.. Objetivos Generales. TE. 1.4.. Aplicar la norma ISO 27002 para mejorar la seguridad de la información de la empre-. BI. BL. IO. sa COMPURED SAC.. 4. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(24) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 1.4.2.. Objetivos Específicos. Realizar un análisis orientado a la auditoría de la información para diagnosticar el estado. CA. S. actual en empresa COMPURED SAC.. ÍS I. Determinar los controles que se alinean a los procesos de la empresa COMPURED SAC a través de una matriz.. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. Seleccionar los controles de la norma ISO 27002 determinados, para la empresa COMPURED SAC y medir su influencia en la efectividad de auditar la información comparando el resultado con el diagnóstico anterior.. 1.5.. Estructura de la Tesis. El presente trabajo está dividido en cinco capítulos. El primer capítulo presenta los aspectos generales del tema tratado: la formulación del problema, motivación, los objetivos, además del método de la investigación y la estructura de la tesis.. En el capítulo dos se presenta el marco teórico, soporte del tema, contemplando los con-. TE. ceptos de seguridad de la información, confidencialidad, integridad, disponibilidad, sistema de gestión de seguridad de la información, ISO 27002, auditoría. El tercer capítulo trata del tema. IO. central de la tesis, diseñándose el modelo respectivo propuesto, utilizando la guía de observa-. BI. BL. ción basada en la Norma ISO 27002.. 5. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(25) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. En el cuarto capítulo se presentan los resultados obtenidos en la investigación. En el capítulo cinco se presentan las consideraciones finales obtenidas en esta tesis,así como. CA. para futuras investigaciones relacionadas al tema en cuestión.. S. las conclusiones. Inicialmente se presentan las conclusiones, seguida de las recomendaciones. ÍS I. Finalmente las referencias bibliográcas usadas para la investigación en esta tesis y los anexos. BI. BL. IO. TE. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. donde se presentan las guías de observación usados en esta investigación.. 6. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(26) S. Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. CA. Capítulo 2. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. ÍS I. MATERIALES Y MÉTODOS. En el capítulo dos se presenta el marco teórico, soporte del tema, contemplando los conceptos de seguridad de la información, confidencialidad, integridad, disponibilidad, sistema de gestión de seguridad de la información, ISO 27002, auditoría.. 2.1.. Marco Teórico. 2.1.1.. Seguridad de la Información. La revista educativa Revista de la Segunda Cohorte del Doctorado en Seguridad Estratégica sobre Seguridad de la Información publicada por la Universidad de San Carlos de Guatemala(2014) indicó que el concepto de seguridad de la información no debe ser confundido con el. TE. de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio in-. IO. formático, pero la información puede encontrarse en diferentes medios o formas, y no solo en. BI. BL. medios informáticos(P.238).. 7. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(27) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Esto quiere decir que la Seguridad Informática está dentro de la Seguridad de la Información, es por esto también que la ISO 27002, se divide en dominios de seguridad lógica, así. CA. S. como física.. La seguridad de la información busca resguardar y proteger la información manteniendo. ÍS I. la confidencialidad, disponibilidad e integridad de la misma; todo esto por medio de medidas. 2.1.2.. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. preventivas y reactivas, en las organizaciones y sistemas tecnológicos.. Confidencialidad. Cuando hablamos de confidencialidad, Mifsud, E. (2012) sostiene que: En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos.. El objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la información. En general, cualquier empresa pública o privada y de cualquier ámbito de actuación requiere que cierta información no sea accedida por diferentes motivos. Uno de los ejemplos más típicos es el del ejército de un país. Además, es sabido que los logros más importantes. BI. BL. IO. TE. en materia de seguridad siempre van ligados a temas estratégicos militares.. 8. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(28) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 2.1.3.. Integridad. En lo que respecta a Integridad, Mifsud, E.(2012) afirma que: En términos de seguridad. CA. S. de la información, la integridad hace referencia a la fidelidad de la información o recursos, y normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado. El. ÍS I. objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la información.. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. La integridad hace referencia a:. La integridad de los datos (el volumen de la información). La integridad del origen (la fuente de los datos, llamada autenticación). 2.1.4.. Disponibilidad. Y por último, sobre la disponibilidad, Mifsud, E. (2012) sostiene que: En términos de seguridad de la información, la disponibilidad hace referencia a que la información del sistema debe permanecer accesible a elementos autorizados. El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos informáticos.. TE. En términos de seguridad informática “un sistema está disponible cuando su diseño e implementación permite deliberadamente negar el acceso a datos o servicios determinados”. Es. IO. decir, un sistema es disponible si permite no estar disponible. Y un sistema ’no disponible’ es. BI. BL. tan malo como no tener sistema. No sirve.. 9. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(29) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 2.1.5.. Sistema de Gestión de Seguridad de la Información. El consultor de seguridad de S21SEC, Benjumea,O. (2010) indica que un Sistema de Ges-. CA. S. tión de la Seguridad de la Información (SGSI) consiste en un conjunto de políticas y procedimientos que normalizan la gestión de la seguridad de la información, bien de toda una organi-. ÍS I. zación o bien de uno o varios de sus procesos de negocio (pp.44-45).. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. La Política de Seguridad es una herramienta que indica cómo gestionar los activos, físicos y lógicos, dentro de una organización, de manera que estos se vean protegidos. En el manual de normas y políticas de seguridad informática publicada por la Universidad de Oriente (2002) se menciona que las políticas de seguridad son una forma de comunicación con el personal, ya que las mismas constituyen un canal formal de actuación, en relación con los recursos y servicios informáticos de la organización. Estas a su vez establecen las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños, sin importar el origen de estos (p.8).. Con el implemento de esta herramienta se pretende que se prevenga y gestione los inci-. TE. dentes a los cuáles están expuestos los activos de la organización. Para esto se debe difundir y. BI. BL. IO. concientizar a los empleados sobre esta.. 10. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(30) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 2.1.6.. Auditoría. Con frecuencia la palabra auditoría se ha empleado incorrectamente y se ha considerado. CA. S. como una valuación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a acuñar la frase "tiene auditoría" como sinónimo de que, desde antes de realizarse, ya se. ÍS I. encontraron fallas y por lo tanto se está haciendo la auditoría. El concepto de auditoría es. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. más amplio: no sólo detecta errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficiencia y eficacia de una sección o de un organismo. La palabra auditoría viene del latín “auditorius”, y de ésta proviene auditor, que tiene la virtud de oír, y el diccionario lo define como revisor de cuentas colegiado” Echenique Garcia (2001). El auditor tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de recursos alternativos de acción, se tome decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. El Accounting Association lo define claramente como “ El proceso sistemático para eva-. TE. luar y obtener de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados”AAA (2013).. IO. Por otro lado Hernández García Alonso en el libro Auditoría Informática lo define d e la. BI. BL. siguiente manera: “Es la actividad consiste en la emisión de una opinión profesional sobre si el. 11. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(31) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las acciones que han sido pre escritas”.Hernández García (2001). S. La auditoría no es una actividad meramente mecánica que implique la aplicación de cier-. CA. tos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La. ÍS I. auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los pro-. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. cedimientos que debe de seguir y estimar los resultados obtenidos. Así como existen normas y procedimientos específicos para la realización de auditorías contables, debe haber también normas y procedimientos para la realización de auditorías en informática como parte de una profesión. Pueden estar basadas en las experiencias de otras profesiones pero con algunas características propias y siempre detección de errores, y además la auditoría debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solución. En conclusión la auditoría verifica a posteriori si las condiciones anteriormente mencionadas, una vez realizada esta función o actividad se cumplen y los resultados obtenidos se obtienen realmente. 2.1.6.1.. Tipos de Auditoría. TE. La clasificación a quí p ropuesta s e r efiere al ám bito es pecífico don de se llevan a c ab o las. IO. actividades y operaciones que serán auditadas, ubicando a cada tipo de auditoría de acuerdo con el objetivo y la finalidad con que se realiza el estudio. Hernández García (2001), Muñoz. BI. BL. Razo (2008). 12. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(32) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. En atención a dichos criterios, y debido a que podemos encontrar un sinnúmero de clasificaciones d e e stos t ipos d e a uditorías, t odas validas, p ara n uestro a nálisis d e l os conceptos. S. generales sólo nos concentraremos en su clasificación y una breve definición de cada uno de los. 2.1.6.1.1.. ÍS I. CA. tipos.. Auditoría Financiera. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. Es el examen de los estados financieros elaborados por un contador público sobre libros de contabilidad, registros, documentación complementaria y transacciones de la entidad examinada para determinar si los estados financieros presentan razonablemente la situación financiera y los resultados de sus operaciones de acuerdo con los principios de contabilidad generalmente aceptados. Téllez Trejo (2004). Originariamente el sentido básico de la auditoría financiera era la detección de cualquier tipo de error en que se hubiera incurrido, mediante una profunda revisión de las transacciones habidas en el ejercicio, hoy su fin principal es lograr establecer una opinión objetiva sobre la exactitud con la que los estados financieros expresan la situación económico-financiera de la empresa y esto de hecho de acuerdo a los principios de contabilidad generalmente aceptados, para lo. TE. cual se utilizan diversas técnicas de la ingeniería financiera y del análisis contable. Muñoz. BI. BL. IO. Razo (2008), Rivas Alonzo (1988).. 13. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(33) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. 2.1.6.1.2.. Auditoría Organizativa. También denominada Auditoría Administrativa, este tipo de auditoría puede definirse como. S. un examen completo y constructivo de la estructura organizativa de una empresa, institución o. ÍS I. de operación y empleo de sus recursos humanos y materiales.. CA. departamento gubernamental, o de cualquier otra entidad y de sus métodos de control, medios. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. Según William P. Leonard, la auditoría administrativa es el examen global y constructivo de los objetivos de la estructura de una empresa, de una institución, una sección del gobierno o cualquier parte de un organismo y de la participación del elemento humano en ella con el fin de informar sobre el objetivo del examen. Echenique Garcia (2001), Muñoz Razo (2008) De acuerdo con el doctor Fabián Martínez Villegas, la auditoría administrativa constituye una oportunidad para demostrar qué es lo que el negocio está logrando respecto a las políticas y programas sobre lo que hace la auditoría. Téllez Trejo (2004). En conclusión, la auditoría administrativa es un enfoque amplio que examina y critica el proceso administrativo, la división funcional y estructural, los planes, objetivos, procedimientos, controles, aspectos físicos y humanos, no solo existente, sino para detectar omisiones.. Auditoría Operacional. TE. 2.1.6.1.3.. IO. En un principio formó parte de la evaluación a las operaciones contables y administrativas. BI. BL. de las empresas, pero su peso e importancia fueron tales que fue necesario hacer auditorías a. 14. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(34) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. las operaciones en el campo de los administradores, sino en otras áreas especializadas como la ingeniería, relaciones laborales y otras ramas que utilizaban para evaluar las operaciones de. S. cualquier área de una institución. Muñoz Razo (2008). CA. Incluso en algunos casos fue de gran utilidad para el campo de organización, métodos y. ÍS I. procedimientos, las actividades fabriles y en sí de la ingeniería aplicada.. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. Bradfor Cadmus Téllez Trejo (2004) define a la auditoría operaciones como una nueva técnica que proporciona a la gerencia un método para evaluar la eficacia de los procedimientos operativos y los controles internos. Por su lado, Edward F. Norbeck Téllez Trejo (2004) sostiene que la auditoría operacional es la revisión de aquellas operaciones de la empresa que con el fin de determinar su eficacia y eficiencia operativa, involucra un análisis y síntesis de las actividades derivadas de la utilización de los elementos humanos, materiales y técnicas aplicados a un área específica de la empresa.. 2.1.6.1.4.. Auditoría Informática. Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de. TE. redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás. IO. componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovecha-. BI. BL. miento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el. 15. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(35) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. funcionamiento del centro de cómputo. El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información. S. y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación, empleados. CA. y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la. ÍS I. empresa. Muñoz Razo (2008). De un modo rápido se han descrito los tipos de auditorías existentes, en función de sus. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. objetivos, siendo, cualquiera de ellas, ejercitables por personas pertenecientes a la empresa, o independientes a ella, lo que faculta para calificarlas de auditorías internas o externas respectivamente.. Auditoría Interna: Principales objetivos. Rivas Alonzo (1988). Revisión y evaluación de controles contables, financieros y operativos. Determinación de la utilidad de políticas, planes y procedimientos, así como su nivel de cumplimiento.. Custodia y contabilización de activos.. TE. Examen de la fiabilidad de los datos.. IO. Divulgación de políticas y procedimientos establecidos. Flujo descendente: desde la alta. BI. BL. dirección hacia la dirección operativa.. 16. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(36) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Información exacta a la gerencia. Flujo ascendente: de la dirección operativa a la alta. CA. Auditoría Externa: Principales objetivos. Rivas Alonzo (1988). S. dirección.. ÍS I. Obtención de elementos de juicio fundamentados en la naturaleza de los hechos examinados para garantizar que han quedado significativamente probados.. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. Medición de la magnitud de un error ya conocido, detección de errores supuestos o confirmación de la ausencia de errores.. Propuesta de sugerencias, en tono constructivo, para ayudar a la gerencia. Detección de los hechos importantes ocurridos tras el cierre del ejercicio, teniendo en cuenta la previsible evolución de la empresa.. Control de las actividades de investigación y desarrollo.. 2.1.7.. Síntomas de Necesidad de una Auditoría Informática. Las empresas acuden a las auditorías en informática cuando existen síntomas bien percepti-. TE. bles de debilidad. Estos síntomas pueden agruparse en clases:Moreno Jimenez (2003). IO. Síntomas de descoordinación y desorganización.- Pueden ocurrir con algún cambio. BL. masivo de personal, o en una reestructuración fallida de alguna área o en la modificación. BI. de alguna Norma importante. 17. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(37) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. • No coinciden los objetivos de la informática de la empresa y de la propia empresa. • Los estándares de productividad se desvían sensiblemente de los promedios conse-. CA. S. guidos habitualmente.. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. • Incremento desmesurado de costos.. ÍS I. Síntomas de debilidades económico-financiero:. • Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). • Desviaciones presupuestarias significativas.. • Costos y plazo de nuevos proyecto (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizo la petición). Síntomas de Inseguridad (Evaluación de riesgos). • Seguridad lógica. • Seguridad física.. TE. • Confidencialidad.. IO. • Continuidad del servicio, es un concepto aun más importante que la seguridad. Es-. BL. tablece las estrategias de continuidad entre fallos mediante planes de contingencia. BI. total o parcial. 18. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(38) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. • Centro de proceso de datos fuera de control, si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en ese caso, el síntoma. CA. 2.1.8.. S. debe ser sustituido por el mínimo indicio.. Herramientas y Técnicas. ÍS I. La auditoría informática se agencia de muchas herramientas y técnicas para su realización,. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. entre las más importantes podemos destacar las siguientes: Moreno Jimenez (2003). Cuestionarios. Las auditorías en informática se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.Moreno Jimenez (2003). Para esto, suele ser lo habitual comenzar solicitando la complementación de cuestionarios. TE. pre impresos que se envían a las personas concretas que el auditor cree adecuadas, sin que. IO. sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a. BL. auditar.. BI. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino 19. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(39) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma. Moreno Jimenez (2003), Franco Jimènez (2002). CA. S. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruza-. ÍS I. miento de ambos tipos de información es una de las bases fundamentales de la audito-. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. ría. Franco Jimènez (2002). Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos pre impresos hubieran proporcionado. Además se recomienda solo hacer preguntas necesarias, que permitan alcanzar el objetivo; preguntas sencillas y directas, no hacerlas abiertas porque dificultan el análisis. Moreno Jimenez (2003), Franco Jimènez (2002) Entrevistas. El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: Moreno Jimenez (2003). TE. • Mediante la petición de documentación concreta sobre alguna materia de su respon-. IO. sabilidad.. BL. • Mediante “entrevistas” en las que no se sigue un plan predeterminado ni un método. BI. estricto de sometimiento a un cuestionario. 20. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(40) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. • Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.. CA. S. La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por. ÍS I. medios propios puramente técnicos o por la respuestas escritas a cuestionarios.. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. Para el caso del auditor informático, siempre tiene que ser su entrevista preparada y con preguntas sistematizadas, que en un ambiente cordial le permita al usuario dar la información que el auditor requiere, de una manera sencilla. Moreno Jimenez (2003); Franco Jimènez (2002) Checklist. Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débi-. TE. les y fuertes.Moreno Jimenez (2003),Franco Jimènez (2002),Moralez Bueno (2000). El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse fle-. IO. xiblemente. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que. BI. BL. superan en riqueza y generalización a cualquier otra forma.. 21. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(41) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. Según la claridad de las preguntas y el talento del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente in-. S. formático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos. CA. del auditor, precisamente a través de las preguntas que éste le formula.Moreno Jime-. ÍS I. nez (2003),Franco Jimènez (2002). Esta percepción configura el principio de autoridad y. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. prestigio que el auditor debe poseer.. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética.. El auditor deberá aplicar el Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo.. TE. Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repeti-. IO. das. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las. BL. mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo,. BI. se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá ana22. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(42) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. lizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe per-. S. cibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas. CA. imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestiona-. ÍS I. rios en su presencia.. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. • Checklist de rango.- Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido. Los Checklists de rango son adecuados si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en los checklist binarios.Moreno Jimenez (2003),Franco Jimènez (2002),Moralez Bueno (2000). Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor.. • Checklist binaria.-Es la constituida por preguntas con respuesta única y excluyente: Si o No, aritméticamente, equivalen a 1 o 0, respectivamente.Moreno Jimenez (2003),Franco Jimènez (2002). Los Checklists Binarios siguen una elaboración ini-. TE. cial mucho más ardua y compleja. Deben ser de gran precisión, como corresponde. IO. a la suma precisión de la respuesta. Una vez construidas, tienen la ventaja de exi-. BL. gir menos uniformidad del equipo auditor y el inconveniente genérico del sí o no. BI. frente a la mayor riqueza del intervalo. No existen Checklists estándar para todas y 23. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(43) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. cada una de las instalaciones informáticas a auditar.Moreno Jimenez (2003). Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptación. CA. S. correspondientes en las preguntas a realizar.. ÍS I. Trazas y/o Huellas. Por lo general, los auditores se apoyan en software que les permite rastrear los cambios. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. que siguen los datos a través del programa. Las Trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas. No deben modificar en absoluto el Sistema. Si la Herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.Moreno Jimenez (2003) Log. Existen unos archivos denominados log donde de manera particular quedan registrados todos los accesos que los diferentes usuarios de los sistemas de información hacen a los equipos computacionales y por supuesto a los programas de todo tipo, operacional, de comunicaciones, de base de datos, aplicativos. La clasificación de los log se basa en las. TE. actividades relacionadas con las operaciones, las comunicaciones y las bases de datos. En las actividades de las operaciones se incluye desde el momento de entrada inicial, correc-. IO. ción de inconsistencias hasta las operaciones de consola, donde quedan registradas todas. BI. BL. las actividades que se realizan en los equipos.Galan Quiroz (1996). En las comunicacio-. 24. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(44) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. nes, las entradas desde las terminales, la transmisión y recepción de los mensajes; y en las bases de datos, las entradas iníciales de registros, las corridas de las aplicaciones, las. 2.1.8.1.. CA. S. modificaciones a los datos, los procesos de reinicio y recuperación y el uso de utilitarios. Metodologías de Evaluación. ÍS I. Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. de manera ordenada y eficaz. Ante todo debemos diferenciar análisis de riesgos y auditoría informática. La auditoría informática solo identifica el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma. Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contra medidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo más baja posible o al menos quede reducida de una forma razonable en costo-beneficio. Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en dos grandes familias de tipos de metodología.Gonzales Zubieta (2001). En la Tabla 2.1 se observa un cuadro comparativo entre estás.. TE. Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización. IO. del trabajo, están diseñadas para producir una lista de riesgos que pueden compararse. BL. entre sí con facilidad por tener asignados unos valores numéricos. Estos valores son datos. BI. de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias 25. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
(45) Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT. donde el número de incidencias tiende al infinito. Sin embargo esto no pasa en la práctica,. S. y se aproxima ese valor de forma subjetiva restando así rigor científico al cálculo.. CA. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos. ÍS I. significantes desconocidos (depende de la capacidad del profesional para usar el check-. CA Y M DE AT C EM IEN ÁT CI IC AS AS F. list/guía). Basadas en métodos estadísticos y lógica borrosa (humana, no matemática, fuzzy logic). Precisan de la involucración de un profesional experimentado. Pero requieren menos recursos humanos y tiempo que las metodologías cuantitativas. 2.1.8.2.. Metodologías de Análisis de Riesgos. Están desarrolladas para la identificación de la falta de controles y el establecimiento de un plan de contra medidas. Existen gran cantidad de metodologías, pero citaremos algunas de. BI. BL. IO. TE. ellas.. 26. Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú. Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/.
Documento similar
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5 Perú.. ii
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comecial-Compartir bajo la misma licencia 2.5 Perú. Para ver una copia de dicha licencia,
Esta obra ha sido publicada bajo la licencia Creative Commons. Compartir bajo la misma licencia versión Internacional. Para ver una copia de dicha licencia,
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5 Perú.. Esta obra ha sido publicada bajo la
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5 Perú. Para ver una copia de dicha licencia,
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajo la misma licencia 2.5 Perú.. INDICE
