Áreas de Oportunidad

Reconocer el concepto de FODA y sus componentes

Es una herramienta que permite conformar un cuadro de la situación actual de la empresa u organización, permitiendo de esta manera obtener un diagnóstico preciso que permita en función de ello tomar decisiones acordes con los objetivos y políticas formulados.

El término FODA es una sigla conformada por las primeras letras de las palabras Fortalezas, Oportunidades, Debilidades y Amenazas.

Fortalezas: son las capacidades especiales con que cuenta la empresa, y por los que cuenta con una posición privilegiada frente a la competencia. Recursos que se controlan, capacidades y habilidades que se poseen, actividades que se desarrollan positivamente, etc. 

Oportunidades: son aquellos factores que resultan positivos, favorables, explotables, que se deben descubrir en el entorno en el que actúa la empresa, y que permiten obtener ventajas competitivas.

Debilidades: son aquellos factores que provocan una posición desfavorable frente a la competencia. Recursos de los que se carece, habilidades que no se poseen, actividades que no se desarrollan positivamente, etc.

Amenazas: son aquellas situaciones que provienen del entorno y que pueden llegar a atentar incluso contra la permanencia de la organización. 

• Se utilizará para desarrollar un plan que tome en consideración muchos y diferentes factores internos y externos para así maximizar el potencial de las fuerzas y oportunidades minimizando así el impacto de las debilidades y amenazas.
• Se debe de utilizar al desarrollar un plan estratégico, o al planear una solución específica a un problema.

ITIL

Los particulares pueden conseguir varias certificaciones oficiales ITIL. Los estándares de calificación ITIL son gestionados por la ITIL Certification Management Board (ICMB) que agrupa a la OGC, a itSMF International y a los dos Institutos Examinadores existentes: EXIN (con sede en los Países Bajos) e ISEB (con sede en el Reino Unido).

Existen tres niveles de certificación ITIL para profesionales:

• Foundation Certificate (Certificado Básico): acredita un conocimiento básico de ITIL en gestión de servicios de tecnologías de la información y la comprensión de la terminología propia de ITIL. Está destinado a aquellas personas que deseen conocer las buenas prácticas especificadas en ITIL.
• Practitioner's Certificate (Certificado de Responsable): destinado a quienes tienen responsabilidad en el diseño de procesos de administración de departamentos de tecnologías de la información y en la planificación de las actividades asociadas a los procesos.
• Manager's Certificate (Certificado de Director): garantiza que quien lo posee dispone de profundos conocimientos en todas las materias relacionadas con la administración de departamentos de tecnologías de la información, y lo habilita para dirigir la implantación de soluciones basadas en ITIL.

No es posible certificar una organización o sistema de gestión como «conforme a ITIL», pero una organización que haya implementado las guías de ITIL sobre Gestión de los Servicios de TI puede lograr certificarse bajo la ISO/IEC 20000.

Evaluacion de los sistemas

Evaluación de los sistemas

Se debe evaluar la información obtenida en los sistemas para poder:

• ·         Determinar el objetivo y compararlo con lo obtenido
• ·         Buscar la interrelación con otros sistemas
• ·         Evaluar la secuencia y flujo de las interacciones

·

Para esto se debe:

1.       Evalué el objetivo

2.       Evalué la interacción con otros sistemas

Se debió analizar la información con el propósito de encontrar las interacciones y sus contactos con otros sistemas a fin de determinar si existe un sistema integral de información, sistemas asilados, o simplemente programas o si existe redundancia o ruido y si existen controles.

3.       Evalué si se obtiene la secuencia y flujo de las interacciones

Es necesario establecer el flujo de información a través del sistema graficándolo de tal manera que refleje un periodo de tiempo así como el orden de ocurrencia.

4.       Evalué el sistema funcional

Verificar la congruencia del objetivo.

5.       Evalué la modularidad del sistema

Ver que el objetivo particular de cada módulo es buscar el objetivo general del sistema.

6.       Evalué la segmentación del sistema

Deben evaluarse aquellas funciones que son realizadas para distintos módulos, cada función extraída del módulo debió ser consistente y validad con el usuario.

7.       Evalué la fragmentación del sistema

Se deben evaluar las funciones haciendo ´énfasis en “que hace” y no en como lo hace.

8.       Evalué el flujo de información del sistema funcional

Identifique en cada documento su origen y su seguimiento a través de las diferentes entidades o departamentos por donde transita.

9.       Evalué los documentos de entrada y el contenido de los reportes

Verificar que los reportes o pantallas de salida contengan todos los datos necesarios sin importar de donde provienen.

10.   Evalué los controles de operación del sistema

Ver en el proceso operacional si se llevan a cabo controles, es decir se evalúa su razón de ser, su método y su grado de sensibilidad.

11.   Cuantifique el volumen de información que se manejara

Debe tener una idea en la aproximación de los recursos que se necesitan si están siendo usados correctamente.

12.   Evaluación de los archivos

Señalar los atributos, propiedades, estructura, clasificación, organización, factor de bloque, frecuencia de uso, campos, códigos, tamaños de los archivos.

13.   Evaluación de reportes

Evaluación de los sistemas de información

Busca comprobar que la aplicación cumpla las especificaciones requeridas por el usuario, que se haya desarrollado dentro de lo presupuestado y que efectivamente cumpla con los objetivos y beneficios esperados.

1.       Evaluación en la ejecución

Se refiere al uso de cuestionarios para recabar datos acerca de la actuación de la aplicación en la computadora, con objeto de conocer que tan bien o que tan mal está siendo usada y opera eficientemente.

2.       Evaluación en el impacto

Se hace sobre la manera en que afecta a la gente que interviene en la aplicación, para determinar como la implementación y el uso afecta a la organización.

Controles

Se dividen en generales, operativos y técnicos.

Los controles generales se aplican a todo el procesamiento de la información y son independientes de las aplicaciones, incluyen:

• Planeación
• Organización
• Políticas y Procedimientos
• Estándares
• Administración de recursos
• Seguridad
• Confidencialidad.

Los controles operativos comprenden cada uno de los sistemas en forma individual y constan de:

• Control y flujo de la información y tabla de decisiones
• Control de Proyectos
• Organización del proyecto
• Reporte de avances
• Revisiones del diseño del sistema
• Control de cambios a programa
• Requisición de cambio
• Bitácora de cambios
• Mantenimiento y documentación
• Producción
• Controles de documentación
• Documentación
• Mantenimiento y acceso a la documentación
• Control de sistemas y programas
• Sistemas en lote
• Sistemas en línea
• Controles de entrada
• Control de programa
• Controles de salida.

Los controles técnicos son:

• Controles de operación y uso de la computadora
• Supervisor
• Capturistas
• Bibliotecario
• Operadores
• Mesa de control
• Controles de entrada y salida
• Reporte de fallas y mantenimiento preventivo
• Controles sobre archivos
• Recuperación de desastres
• Controles de usuarios
• De origen de datos
• Controles de entrada de datos
• Controles de salida de datos
• Controles técnicos
• Programática
• Aplicaciones
• Sistemas
• Equipos.

Interpretación de Informacion

Técnicas para la interpretación de la información

El análisis crítico de los hechos sirve para discriminar y evaluar la información, se basa en las siguientes preguntas:

Pregunta                                            Finalidad que determina

Que                                                     El propósito

Donde                                                 El lugar

Cuando                                               El orden y el momento

Quien                                                  La persona responsable

Como                                                  Los medios

Cuanto                                                La cantidad

Las respuestas deben ser sometidas a la pregunta “Por qué “para justificar la información obtenida, cada interrogante debe ser debe descomponer de la siguiente manera:

1.       Propósito

a.       Que se hace

b.      Por qué se hace

c.       Que otra cosa podría hacerse

d.      Que debería hacerse

2.       Lugar

a.       Donde se hace

b.      Por qué se hace ahí

c.       En que otro lugar podría hacerse

d.      Donde debería hacerse

3.       Sucesión

a.       Cuando se hace

b.      Por qué se hace entonces

c.       Cuando podría hacerse

d.      Cuando debería hacerse

4.       Persona

a.       Quien lo hace

b.      Por qué lo hace esa persona

c.       Que otra persona podría hacerlo

d.      Quien debería hacerlo

5.       Medios

a.       Como se hace

b.      Por qué se hace de ese modo

c.       De que otro modo podría hacerse

d.      Como debería hacerse

6.       Cantidad

a.       Cuanto se hace

                      b.    Por qué se hace esa cantidad (volumen)

LA AUDITORÍA DE LA SEGURIDAD FÍSICA Y LÓGICA

LA AUDITORÍA DE LA SEGURIDAD FÍSICA  Y LÓGICA

Se evaluaran las protecciones físicas de datos, programas instalaciones, equipos redes y soportes, y por supuesto habrá que considerar a las personas, que estén protegidas y existan medidas de evacuación, alarmas, salidas alternativas, así como que no estén expuestas a riesgos superiores a los considerados admisibles en la entidad e incluso en el sector.

(Alanís, (1998).)

Amenazas

Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto tipo, incendios, inundaciones, averías importantes, derrumbamientos, explosiones, así como otros que afectan a las personas y pueden impactar el funcionamiento de los centros, tales como errores, negligencias, huelgas, epidemias o intoxicaciones.

Protecciones físicas algunos aspectos a considerar:

• Ubicación del centro de procesos, de los servidores locales, y en general de cualquier elemento a proteger.
• Estructura, diseño, construcción y distribución de los edificios y de sus platas.
• Riesgos a los accesos físicos no controlados.
• Amenaza de fuego, problemas en el suministro eléctrico
• Evitar sustituciones o sustracción de quipos, componentes, soportes magnéticos, documentación u otros activos.

LISTAS DE VERIFICACIÓN

LISTAS DE VERIFICACIÓN

No siempre es requerida en las normas de sistemas de gestión, las listas de verificación para auditoría son solo una herramienta disponible de la “caja de herramientas” del auditor.

Muchas organizaciones las usarán para asegurar que la auditoría al menos cubrirá los requisitos como se definan en el alcance de la auditoría.

Ventajas:

1. Las listas de verificación se desarrollan para una auditoría específica y se usa correctamente:
2. Promueve la planificación de la auditoría.
3. Asegura un enfoque consistente de auditoría.
4. Actúa como plan de muestreo y controlador de tiempo.
5. Sirve como ayuda a la memoria.
6. Proporciona un archivo para las notas recolectadas durante el proceso de auditoría (notas del campo de auditoría)
7. Las listas de verificación para auditoría necesitan ser desarrolladas para proporcionar asistencia al proceso de auditoría.
8. Las listas de verificación ayudan a asegurar que la auditoría se realice de manera sistemática y comprehensiva y se obtenga evidencia adecuada.
9. Las listas de verificación pueden proporcionar la estructura y continuidad que asegure que el alcance de la auditoría se ha seguido.
10. Una lista de verificación puede proporcionar un registro de que el SGC fue examinado.

Desventajas:

1. La lista de verificación puede ser vista como arma de intimidación por el auditado.
2. El enfoque de la lista de verificación puede ser muy estrecho en alcance para identificar las áreas específicas con problemas.
3. Las listas de verificación son una herramienta de ayuda para el auditor, pero puede ser restrictiva si se utiliza como el único mecanismo de soporte del auditor.
4. Las listas de verificación no deben ser un sustituto del plan de auditoría.
5. Una lista de verificación utilizada por un auditor inexperto pudiera no ser capaz de comunicar claramente que es lo que el auditor está buscando.

(Jimenez D. , 2015)

PLANEACIÓN DE LA AUDITORIA INFORMÁTICA

PLANEACIÓN DE LA AUDITORIA INFORMÁTICA

Para hacer una adecuada planeación de la auditoria en informática hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipo. Con ello podremos determinar el número y características del personal de auditoría, las herramientas necesarias, el tiempo y costo, así como definir los alcances de la auditoría sobre todo definir que norma se va auditar en dicha auditoria.

NORMAS Y ESTÁNDARES RELACIONADOS CON PROYECTOS DE T.I

Existen entidades internacionales reconocidas, que se preocupan por realizar metodologías, normas, estándares, modelos y/o directrices, enfocados a los desarrolladores como a los adquiridores de software.

Normas y estándares relacionados con proyectos de Tecnologías de la Información se presentan a continuación.

(Fernando Hurtado, 2011):

Mecanismos de seguridad

Un firewall es software o hardware que comprueba la información procedente de Internet o de una red y, a continuación, bloquea o permite el paso de ésta al equipo, en función de la configuración del firewall.

Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos) obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a impedir que el equipo envíe software malintencionado a otros equipos.

En la siguiente ilustración se muestra el funcionamiento de un firewall.

Un firewall crea una barrera entre Internet y el equipo, igual que la barrera física que constituiría una pared de ladrillos.

Un firewall no es lo mismo que un programa antivirus. Para ayudar a proteger su equipo, necesita tanto un firewall como un programa antivirus y antimalware.

El concepto de Aislamiento

Los sistemas Firewall permiten definir las reglas de acceso entre dos redes. Sin embargo, en la práctica, las compañías cuentan generalmente con varias subredes con diferentes políticas de seguridad. Por esta razón, es necesario configurar arquitecturas de firewall que aíslen las diferentes redes de una compañía. Esto se denomina "aislamiento de la red".

Arquitectura DMZ

Cuando algunas máquinas de la red interna deben ser accesibles desde una red externa (servidores web, servidores de correo electrónico, servidores FTP), a veces es necesario crear una nueva interfaz hacia una red separada a la que se pueda acceder tanto desde la red interna como por vía externa sin correr el riesgo de comprometer la seguridad de la compañía. El término "zona desmilitarizada" o DMZ hace referencia a esta zona aislada que posee aplicaciones disponibles para el público. La DMZ actúa como una "zona de búfer" entre la red que necesita protección y la red hostil.

Los servidores en la DMZ se denominan "anfitriones bastión" ya que actúan como un puesto de avanzada en la red de la compañía.

Por lo general, la política de seguridad para la DMZ es la siguiente:

•          El tráfico de la red externa a la DMZ está autorizado
•          El tráfico de la red externa a la red interna está prohibido
•          El tráfico de la red interna a la DMZ está autorizado
•          El tráfico de la red interna a la red externa está autorizado
•          El tráfico de la DMZ a la red interna está prohibido
•          El tráfico de la DMZ a la red externa está denegado

De esta manera, la DMZ posee un nivel de seguridad intermedio, el cual no es lo suficientemente alto para almacenar datos imprescindibles de la compañía.

Debe observarse que es posible instalar las DMZ en forma interna para aislar la red interna con niveles de protección variados y así evitar intrusiones internas.

Los mecanismos de seguridad son también llamadas herramientas de seguridad y son todos aquellos que permiten la protección de los bienes y servicios informáticos. Con estos mecanismos es con lo que se contesta la última pregunta de la metodología de la seguridad informática: ¿Cómo se van a proteger los bienes?

Estos mecanismos pueden ser algún dispositivo o herramienta física que permita resguardar un bien, un software o sistema que de igual  manera ayude de algún modo a proteger un activo y que no precisamente es algo tangible, o una medida de seguridad que se implemente, por ejemplo las políticas de seguridad.

Los mecanismos también reciben el nombre de controles ya que dentro de sus funciones se encuentran el indicar la manera en que se deben ejecutar las acciones que permitan resguardar la seguridad y se eviten vulnerabilidades en la misma.

Finalmente los mecanismos pueden clasificarse de acuerdo con el objetivo principal de los mismos en:

Mecanismos preventivos: Como su nombre lo dice, son aquellos cuya finalidad consiste en prevenir la ocurrencia de un ataque informático. Básicamente se concentran en el monitoreo de la información y de los bienes, registro de las actividades que se realizan en la organización y control de todos los activos y de quienes acceden a ellos.

 Mecanismos detectores: Son aquellos que tienen como objetivo detectar todo aquello que pueda ser una amenaza para los bienes. Ejemplos de éstos son las personas y equipos de monitoreo, quienes pueden detectar cualquier intruso u anomalía en la organización.

Mecanismos correctivos: Los mecanismos correctivos se encargan de reparar los errores cometidos o daños causados una vez que se ha cometido un ataque, o en otras palabras, modifican el estado del sistema de modo que vuelva a su estado original y adecuado.

Mecanismos disuasivos: Se encargan de desalentar a los perpetradores de que cometan su ataque para minimizar los daños que puedan tener los bienes.

Puertos más comunes

Cada computadora o equipo informático que se encuentre conectado a una red, utiliza unas especies de puertas de comunicación por las que recibe y envía información a otros equipos diferentes.

Para poder realizar varias intercambios de datos de forma simultánea, existen 65536 puntos de salida y entrada, estos son conocidos como puertos y se identifican de forma numérica.

La definición técnica es: Un número de 16 bits, empleado por un protocolo host a host para identificar a que protocolo del nivel superior o programa de aplicación se deben entregar los mensajes recibidos.

Se encuentran organizados mediantes las reglamentaciones asignadas por la IANA (Agencia de Asignación de Números de Internet) en tres categorías:

1.  Los puertos comprendidos entre el 0 y el 1023 son puertos reservados para usos específicos que se encuentran reglamentados, el sistema operativo los abre para permitir su empleo por diversas aplicaciones mediante los llamados protocolos "Bien conocidos", por ejemplo: HTTP, FTP, TELNET, IRC, POP3, etc.
2.  Los comprendidos entre 1024 y 49151 son denominados "Registrados" y pueden ser usados por cualquier aplicación.
3. Los comprendidos entre los números 49152 y 65535 son denominados "Dinámicos o privados", son los usados por el sistema operativo cuando una aplicación tiene que conectarse a un servidor y le realiza la solicitud de un puerto.

Algunos de ellos, solo los más conocidos y comentados son los siguientes:

•         21 Puerto de FTP, usado para la descarga de archivos al equipo.
•         23 Puerto Telnet, protocolo usado para comunicación.
•         25 Puerto SMTP, usado por los clientes de email para enviar correo electrónico.
•         80 Puerto HTTP, es el usado por los navegadores para cargar las páginas web.
•         110 y 995 Puertos POP3, usados por los clientes de email para la recepción del correo.
•         119 Puerto NNTP
•         139 El famoso puerto de Netbios.
•         443 Puerto HTTPS , usado para la carga segura de páginas web.
•         445 Movil IP
•         531 Puerto IRC, usado para servicios de chat.
•         1521 Puerto para Oracle y SQL.
•         3306 Puerto para Mysql (Bases de datos)
•          4661, 4662, 4665 Puertos usados para Conexiones Peer to Peer como Emule y otros.

En la siguiente pagina encontraras todos los puertos mas comunes:

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/ch-ports.html