Resumen 2do Parcial Sistemas PDF

**UNIDAD 5** **INTRODUCCIÓN a los PROTOCOLOS y DIRECCIONES IP** Los protocolos son un conjunto de reglas que controlan cómo se comunican los dispositivos en una red. - **Dirección IP**: Número que identifica cada dispositivo en la red, distinto de la dirección MAC (fija y asignada por el fabricante). Las IPs pueden ser: - **Dinámicas** (asignadas temporalmente por DHCP) - **Estáticas** (no cambian, usadas en servidores web, correo y FTP) **Tipos de IP según clases**: - **Clase A**: Redes muy grandes (ej.: gobiernos). En esta se asignan los 3 primeros bits para identificar la red, reservando los tres últimos octetos (24 bits) para que sean asignados al host, de modo que la cantidad máxima de redes es de 27, es decir 126 (menos dos) y de host 16777214 - **Clase B**: Redes medianas. En esta, se asignan los primeros 16 bits para identificar la red. Reservando los dos octetos finales (16 bits) para que sean asignados a los hosts, de modo que la cantidad máxima de redes es de 16382 y de host por red es de 65534 - **Clase C**: Redes pequeñas. En esta se asignan los primeros 21 bits para identificar la red, reservando el octeto final (8 bits), la cantidad máxima de redes es de 2097150 y de 254 host por red - **Clase D**: Multidifusión - **Clase E**: Reservada para experimentación - **IPv4 vs IPv6**: IPv4 usa 32 bits, mientras que IPv6 usa 128 bits, permitiendo más dispositivos conectados y un formato hexadecimal para representar direcciones (ej.: FEDC:BA98:7654:3210). Ejemplo: - IPv4: 164.12.123.65 - IPv6: FEDC:BA98:7654:3210:0123:4567:89AB:CDEF **MÉTODOS de ACCESO a la RED** Existen dos tipos principales: - **Acceso por contención**: Utilizan redes con topología en bus, su señal se propaga por toda la red y llega a todos los ordenadores. Este sistema se conoce como broadcast. El método más común es el CSMA (Acceso Multiple Sensible a la Portadora). Cuando una estación quiere enviar datos, primero escucha el canal para ver si alguien esta transmitiendo. Si la línea está desocupada, esta transmite. Si está ocupada, espera hasta que esté libre. - **CA -- Collision Avoidance (Prevención de Colisión):** 1. Escucha si la red está libre 2. Envía el dato 3. Espera un reconocimiento del receptor - **CD -- Collision Detection (Detección de Colisión):** - **Acceso determinístico**: Es un método en el que se determina qué estación puede transmitir en cada momento. El método más utilizado es Token Passing (Paso de Testigo), donde un testigo (una secuencia especial de bits) circula entre las estaciones en un orden fijo. - **Funcionamiento de Token Passing**: La estación que recibe el testigo puede transmitir. El mensaje enviado viaja por la red y vuelve al emisor. Al terminar, el testigo se libera y pasa a la siguiente estación - **Alta eficiencia:** Puede aprovechar hasta un 90% del ancho de banda. - **Mejor rendimiento con alta carga:** Token Passing es más rápido bajo cargas intensas que los métodos basados en contención (como CSMA/CA o CSMA/CD) - **Mayor predictibilidad:** El rendimiento es más estable, ya que cada estación transmite en su turno. - **Limitaciones:** Con baja carga, los métodos de contención son más rápidos y eficientes. **DATAGRAMAS y TRANSMISIÓN de DATOS** Un **datagrama** es la unidad básica de información que circula por la red, compuesto por: 1. **Cabecera**: Dirección de origen y destino, tamaño y tipo de protocolo. 2. **Segmento de datos**: La información útil. 3. **Cola**: Información para detectar errores. **PROTOCOLOS y MODELOS de REFERENCIA** **Protocolos** son las reglas para la comunicación entre dispositivos.\ Los modelos más comunes son **OSI** y **TCP/IP**. - **Modelo OSI**: Tiene 7 capas: 1. Física: Transporte de BITS sobre el enlace físico. 2. Enlace de datos: Corrección de errores, pérdidas de conexiones. 3. Red: Contiene la ruta para llegar al destino. 4. Transporte: Establece, mantiene y termina la comunicación entre dos equipos. 5. Sesión: Controla los tiempos y el flujo de la información. 6. Presentación: Se interpreta y transforman los datos. 7. Aplicación: Interfaz entre el programa final y el modelo. Cada capa tiene una función específica. Por ejemplo, la capa de transporte garantiza que los datos lleguen completos y sin errores. - **Modelo TCP/IP**: Se compone de 4 capas: 1. Interfaz de red 2. Internet 3. Transporte 4. Aplicación Diferencias: - El modelo OSI es teórico y más detallado, mientras que TCP/IP se usa en la práctica. **FUNCIONAMIENTOS de los PROTOCOLOS de RED** El envío de datos a través de la red sigue pasos organizados. Los equipos de origen transmiten los datos de arriba hacia abajo (según el protocolo), y el equipo de destino los procesa en el orden inverso (de abajo hacia arriba). **Pasos en el equipo origen:** 1. **Dividir datos** en paquetes pequeños. 2. **Añadir direcciones** para que el receptor identifique el destino. 3. **Preparar y enviar** los paquetes a través de la tarjeta de red (NIC). **Pasos en el equipo de destino:** 1. **Recibir paquetes** por la NIC. 2. **Eliminar la información adicional** del origen. 3. **Reorganizar los datos** en un búfer y enviarlos a la aplicación. **Protocolos encaminables** - Estos protocolos permiten la comunicación entre diferentes LANs mediante **encaminamiento**, facilitando la expansión de redes pequeñas a **redes más grandes** (como WANs). - Conectan varias LANs por **múltiples rutas**, eligiendo la mejor según la eficiencia o disponibilidad. **MODELO OSI y ARQUITECTURA MULTINIVEL** El modelo **OSI** (Open Systems Interconnection) define una arquitectura de siete capas, facilitando la compatibilidad entre equipos de diferentes fabricantes y asegurando que los datos se envíen correctamente a través de la red. - **Capas del modelo OSI:** 1. **Física:** Define el medio físico (cables, señales) y el tipo de comunicación (simplex, half-duplex, full-duplex). 2. **Enlace:** Agrupa bits en marcos, verifica errores y retransmite si es necesario. 3. **Red:** Gestiona el enrutamiento y la entrega eficiente de los paquetes. 4. **Transporte:** Controla la integridad de los datos y evita pérdidas o duplicaciones. 5. **Sesión:** Establece, sincroniza y recupera sesiones de comunicación. 6. **Presentación:** Transforma los datos para garantizar que se interpreten correctamente. 7. **Aplicación:** Brinda servicios a programas como HTTP, SMTP, DNS y Telnet. **Encapsulamiento** Cada capa añade su propia información al paquete mientras pasa a la siguiente. Al llegar al destino, el proceso es inverso. Este mecanismo **oculta la complejidad** entre capas, asegurando que los cambios en una capa no afecten a las demás. **VENTAJAS de la ARQUITECTURA por CAPAS** - **Independencia del fabricante:** Permite la interoperabilidad entre diferentes sistemas y equipos. - **Facilidad de mantenimiento:** Los cambios en una capa no afectan al resto. - **Modularidad:** Cada capa tiene una función específica, facilitando la adaptación y mejora de los protocolos. **FUNCIONAMIENTO de los PROTOCOLOS** Cada protocolo cumple tareas específicas en niveles distintos. Ejemplo: - **IP** (Protocolo de Internet): Encaminamiento de paquetes. - **TCP**: Asegura que los datos lleguen completos y en orden. - **UDP**: Protocolo más rápido, pero sin control de errores. **PROTOCOLOS en APLICACIONES y TRANSPORTE** - **Protocolos de aplicación**: - **HTTP**: Acceso a sitios web. - **FTP**: Transferencia de archivos. - **SMTP**: Envío de correos electrónicos. - **DNS**: Traducción de nombres de dominio a IP. - **Protocolos de transporte**: - **TCP**: Confiable y orientado a conexión (ideal para internet). - **SPX**: Parte del conjunto de protocolos IPX/SPX para datos en forma de paquetes secuenciados. - **UDP**: No orientado a conexión (usado en transmisiones rápidas). **ESTÁNDARES IEEE a NIVEL FÍSICO** 1. **802.3 (Ethernet):** - Red lógica en bus con transmisión a **10 Mbps**. - Usa el protocolo **CSMA/CD** para gestionar colisiones: - Si dos equipos transmiten al mismo tiempo, se detecta la colisión y ambos deben esperar un tiempo aleatorio antes de volver a intentar. - Los datos se transmiten a todos los equipos de la red, pero solo los destinatarios previstos responden. - Es el estándar principal para Ethernet con medios físicos como: - **10Base2** (cable coaxial delgado). - **10Base5** (cable coaxial grueso). - **10Base-T** (par trenzado). - **10Base-F** (fibra óptica). 2. **802.4 (Token Bus):** - Red en **bus** que utiliza un esquema de paso de **testigo (token)**. - Solo el equipo que posee el token puede transmitir datos. 3. **802.5 (Token Ring):** - Red con topología **anillo lógico**, aunque se implementa físicamente en **estrella** mediante un hub. - El **token** determina qué equipo puede transmitir. - Velocidades típicas: **4 o 16 Mbps**. **PROTOCOLOS TCP/IP y SU FUNCIONALIDAD** 1. **TCP (Transmission Control Protocol):** - Protocolo **orientado a conexión** y **confiable**. - Garantiza la entrega de datos sin errores y en el orden correcto. - Características importantes: - **Control de flujo**: Evita la saturación de la red. - **Multiplexación**: Gestiona varias conexiones simultáneas. - **Manejo de ventanas**: Optimiza la transferencia de datos. - Usa **puertos** para identificar servicios en los nodos de la red. 2. **IP (Internet Protocol):** - Define cómo se estructuran y envían los **datagramas**. - Funciones principales: - **Enrutamiento**: Determina las rutas para llevar los paquetes. - **Manejo de errores**: Realiza verificaciones sobre la cabecera. - **Entrega directa o indirecta**: - Directa: Si el destino está en la misma red. - Indirecta: Si necesita pasar por varios routers. 3. **TCP/IP como pila de protocolos:** - **Robustez y escalabilidad**: Puede ampliarse según las necesidades. - Ventajas: - **Interoperabilidad** entre sistemas diferentes. - **Encaminamiento** eficiente para redes WAN. - Soporte para aplicaciones críticas y servicios de Internet. - Historia: - Desarrollado por el **Departamento de Defensa de EE.UU.** para garantizar comunicaciones durante conflictos bélicos. - Estandarizado y gestionado por la comunidad de Internet. **COMPARACIÓN entre TCP/IP y el MODELO OSI** **Modelo OSI** **Modelo TCP/IP** **Funcionalidad** ---------------------------------------------- -------------------------- ----------------------------------------------------------------------- Nivel físico y de enlace Nivel de interfaz de red Conecta la red física con la capa de Internet (Ethernet, Token Ring). Nivel de red Nivel Internet Maneja el **encaminamiento** y entrega de paquetes. Nivel de transporte Nivel de transporte Asegura la transmisión con **TCP o UDP**. Niveles de sesión, presentación y aplicación Nivel de aplicación Permite que las **aplicaciones** accedan a la red (HTTP, FTP, DNS). **APLICACIONES del PROTOCOLO TCP/IP** 1. **HTTP**: Transferencia de datos para páginas web. 2. **FTP**: Transferencia de archivos entre equipos. 3. **DNS**: Resolución de nombres de dominio. 4. **SMTP**: Envío de correos electrónicos. 5. **Telnet**: Acceso remoto a terminales. 6. **SNMP**: Gestión de dispositivos en la red. 7. **NTP**: Sincronización del tiempo en la red. 8. **NNTP**: Transferencia de noticias en la red. **CRÍTICAS a los MODELOS OSI y TCP/IP** - **Modelo OSI**: - Demasiado complejo para implementar. - Contiene redundancia en el control de errores. - Poca aceptación en Estados Unidos, ya que fue desarrollado principalmente por Europa. - **Modelo TCP/IP**: - Fue diseñado para solucionar problemas antiguos, por lo que algunas tecnologías modernas no se adaptan fácilmente. - La falta de distinción clara entre servicios, interfaces y protocolos dificulta su extensión a nuevas tecnologías. **UNIDAD 6** **SERVICIOS DISPONIBLES en una RED** Los servicios que se ofrecen dentro de una red son fundamentales para garantizar el acceso y la eficiencia en el uso de los recursos compartidos. Aquí se detallan los principales: - **Acceso y control de acceso**: - **Acceso**: Este servicio permite a los usuarios conectarse a la red y utilizar los recursos disponibles. El proceso requiere que el usuario se autentique, normalmente a través de un servidor, usando un nombre de usuario y una clave. - **Ejemplo**: En una empresa, los empleados deben ingresar sus credenciales para acceder a archivos compartidos o a sistemas empresariales. - **Acceso remoto**: - Permite que los usuarios accedan a la red de una organización desde ubicaciones remotas. Esto es crucial para trabajadores que no están físicamente presentes en las instalaciones. - **Ejemplo**: Un empleado que trabaja desde casa puede acceder a los archivos de la red corporativa usando una VPN (Virtual Private Network). - **Servicio de ficheros**: - Facilita el almacenamiento centralizado de aplicaciones y datos, lo que libera espacio en las estaciones de trabajo individuales y reduce la duplicación de información. - **Ejemplo**: Los empleados guardan todos los documentos importantes en un servidor central, al que pueden acceder desde cualquier estación de trabajo conectada a la red. - **Impresión**: - Compartir impresoras de alta capacidad entre varios usuarios en la red es una forma eficiente de reducir costos y optimizar recursos. - **Ejemplo**: En una oficina, varios empleados pueden enviar documentos para ser impresos a una única impresora centralizada en lugar de tener una impresora por empleado. - **Correo electrónico**: - Es uno de los servicios de red más utilizados para comunicación. Permite a los usuarios enviar mensajes entre sí a través de la red. - **Ejemplo**: Un empleado puede enviar un correo electrónico a su equipo dentro de la misma red empresarial para compartir información o coordinar tareas. - **Servicios de información**: - Los servidores de información proporcionan acceso a datos estructurados, como bases de datos o documentos en hipertexto. - **Ejemplo**: Un servidor de bases de datos en la red permite consultar los registros de clientes de una empresa. - **Otros servicios**: - Las redes también pueden soportar servicios avanzados como la videoconferencia, la integración de voz y datos, y la telefonía por IP. - **Ejemplo**: La red de una empresa puede permitir a los empleados realizar llamadas telefónicas desde sus computadoras o participar en videollamadas con socios ubicados en otras ciudades. **SERVICIOS para INTRANET** **Visión Global de una Intranet** Una **intranet** es una red privada que usa tecnologías y protocolos de internet (TCP/IP) para proporcionar servicios dentro de una organización. A diferencia de internet, su acceso es limitado a los miembros de la organización, lo que la hace más segura y controlada. **Características Principales** - **Conectividad:** La Intranet puede coexistir con otros protocolos de red, como **IPX**, y permite el acceso limitado a recursos de Internet. Sin embargo, no necesariamente todo el tráfico desde Internet puede ingresar a la Intranet, ya que es posible restringir o personalizar dicho acceso. - **Intercomunicación con Internet:** La conexión con Internet se realiza a través de un **proveedor de servicios de Internet (ISP)**. Esta configuración requiere de equipos como: - **Módem:** Para la conexión telefónica. - **Router:** Administra la conexión entre la red interna (Intranet) y la red externa (Internet), permitiendo que solo se utilicen las líneas externas cuando sea necesario. **Ventajas de la Intranet** 1. **Velocidad de acceso mejorada:** A diferencia del acceso a Internet, la **Intranet** ofrece un mayor rendimiento al operar dentro de la red privada sin depender de líneas telefónicas de baja velocidad. 2. **Optimización de recursos internos:** Las empresas utilizan Intranets para: - Publicar **noticias internas** y **anuncios**. - Gestionar **normas y procedimientos** como los de la ISO 9000. - Ofrecer acceso rápido a **documentos corporativos** y directorios internos. 3. **Seguridad:** Las transacciones entre la Intranet e Internet pueden realizarse a través de **líneas privadas rentadas**, evitando la exposición a la red pública de Internet. **Servicios en una intranet** 1. **Correo electrónico**: - Facilita la comunicación dentro de la red corporativa y, si se requiere, con usuarios externos. Los correos enviados pueden incluir archivos adjuntos como documentos, imágenes, o videos. - **Ejemplo**: Un gerente puede enviar un reporte en formato PDF a todo su equipo usando el correo electrónico de la intranet. 2. **Home Pages internas**: - Las páginas web internas permiten publicar información relevante exclusivamente para los empleados de la empresa, como boletines o documentos internos. - **Ejemplo**: Un departamento puede tener una página web donde se publiquen noticias, procedimientos, o cambios en las políticas de la empresa. 3. **Java y CGI (Common Gateway Interface)**: - Java es un lenguaje de programación muy utilizado en las intranets debido a que es independiente de la plataforma, lo que significa que el mismo programa puede ejecutarse en diferentes sistemas operativos. - CGI permite crear interfaces que conectan las páginas web con bases de datos, lo que facilita el acceso a la información almacenada en las bases de datos de la empresa. - **Ejemplo**: A través de un formulario web, los empleados pueden consultar una base de datos de inventarios en tiempo real sin necesidad de conocimientos técnicos avanzados. 4. **Acceso a bases de datos**: - Las intranets permiten acceder de manera sencilla a bases de datos internas mediante formularios HTML. - **Ejemplo**: Los empleados de ventas pueden consultar información actualizada sobre los productos disponibles y su precio en la base de datos de la empresa a través de un navegador. 5. **Seguridad**: - Dado que las intranets son vulnerables a ataques externos e internos, es necesario implementar medidas de seguridad como firewalls, criptografía, y servidores proxy. - **Ejemplo**: Un servidor proxy puede filtrar el tráfico de internet que entra y sale de la red interna, asegurando que solo el contenido autorizado pase a través del firewall. 6. **Servidores Proxy**: - Estos servidores actúan como intermediarios entre las computadoras de la intranet e internet, filtrando y gestionando las solicitudes de conexión externa. - **Ejemplo**: Cuando varios empleados necesitan acceder a internet, sus solicitudes pasan primero por un servidor proxy que decide si se permite o no el acceso. **SERVICIOS para INTERNET** A diferencia de una intranet, los servicios de internet están abiertos al público y son esenciales para la comunicación y el intercambio de información a nivel global. - **Correo electrónico (e-mail)**: Permite a los usuarios enviar mensajes de texto o de voz a cualquier otro usuario conectado a internet. - **Telnet**: Este servicio permite a los usuarios conectarse a computadoras remotas mediante la introducción de una cuenta y contraseña, facilitando la administración de servidores a distancia. - **FTP (File Transfer Protocol)**: Facilita la transferencia de archivos entre computadoras conectadas a internet. - **Ejemplo**: Los desarrolladores web utilizan servidores FTP para subir archivos de un sitio web a un servidor de alojamiento. - **WWW (World-Wide Web)**: Es el sistema de hipertextos que facilita la navegación por internet, enlazando documentos de manera sencilla. - **Gopher**: Este protocolo se usa para buscar y localizar archivos específicos en la red. **UNIDAD 7** **CONCEPTOS FUNDAMENTALES de SEGURIDAD** 1. **Amenaza:** 2. Representa cualquier acción potencialmente dañina que puede comprometer la seguridad de los sistemas. Las amenazas pueden ser externas (como ataques de hackers) o internas (errores humanos o empleados malintencionados). 3. **Vulnerabilidad (Vulnérabilité):**\ Son las **brechas** o **fallas** que exponen los sistemas a las amenazas. La seguridad efectiva requiere identificar estas vulnerabilidades para implementar medidas correctivas. 4. **Contramedida (Contre-mesure):**\ Las contramedidas incluyen tanto **soluciones técnicas** (como firewalls o antivirus) como **capacitación de los usuarios** y **políticas claras** que reduzcan los riesgos. **OBJETIVOS PRINCIPALES de la SEGURIDAD INFORMÁTICA** 1. **Confidencialidad:**\ Garantiza que **solo los usuarios autorizados** puedan acceder a la información. La protección se logra mediante el uso de **contraseñas**, **encriptación** y controles de acceso. 2. **Integridad:**\ Asegura que los datos no sean alterados de forma no autorizada durante su transmisión o almacenamiento, garantizando que la información recibida es exactamente la que se esperaba. 3. **Disponibilidad:**\ Se enfoca en que los **sistemas estén accesibles** y operativos para los usuarios autorizados en todo momento, evitando interrupciones o denegaciones de servicio (DoS). 4. **No repudio:** 5. **Autenticación:**\ La **autenticación** permite confirmar la **identidad del usuario** antes de otorgar acceso a los recursos. Esto puede implicar contraseñas, identificación biométrica o autenticación multifactor. **DIFERENCIA entre AUTENTICACIÓN e IDENTIFICACIÓN** - **Identificación:** Consiste en reconocer quién es el usuario. Por ejemplo, un sistema de reconocimiento de voz puede identificar a una persona por los patrones de su voz. - **Autenticación:** Confirma que la persona identificada es quien dice ser mediante un **segundo factor** (como una frase clave o PIN). Esta etapa es crucial para evitar suplantaciones de identidad. **CATEGORÍA de AUTENTICIDAD** - **Categoría 1**: Algo que el usuario sabe. Un dato esencial, puede tratarse de algo de su persona o bien de un simple o complejo password (contraseña). } - **Categoría 2:** Algo que el usuario lleva consigo. Por ejemplo: un documento de identidad, una tarjeta. - **Categoría 3:** Propiedad física o acto involuntario. La pupila, la voz y la huella dactilar son ejemplos de propiedades físicas de un individuo. Firmar es un acto involuntario, ya que uno no está pensando en hacer cada trazo, sino que los realiza en conjunto **RIESGOS y DESAFÍOS de la SEGURIDAD INFORMÁTICA** Con la creciente tendencia hacia un estilo de vida nómada y el trabajo remoto, los empleados suelen acceder a los sistemas empresariales desde **dispositivos fuera de la infraestructura segura** de la empresa. Esto aumenta las vulnerabilidades y requiere medidas adicionales, como: - **Conexiones seguras mediante VPNs.** - **Capacitación de usuarios** sobre riesgos de phishing y prácticas seguras. - **Control de acceso estricto** con autenticación multifactor. **ELEMENTO PROTEGIDOS en la SEGURIDAD INFORMÁTICA** La seguridad informática no se limita únicamente a proteger sistemas conectados a Internet, sino que cubre un contexto más amplio, incluyendo **seguridad física y lógica**. Su propósito es salvaguardar cuatro elementos fundamentales: 1. **Hardware:**\ Se refiere a los componentes físicos del sistema informático, como el gabinete, motherboard, microprocesador, discos duros, cables, etc. 2. **Software:**\ Son los sistemas operativos y aplicaciones que hacen funcionar al hardware y permiten la ejecución de programas. 3. **Datos:**\ Representan los **registros, bases de datos y paquetes de información** transmitidos por las redes. Un **dato aislado** carece de significado sin contexto, mientras que **la información** surge al darle coherencia y relevancia mediante un programa o usuario. 4. **Elementos fungibles:**\ Son los recursos que **se consumen o desgastan** con el uso, como papel, tóner, discos y controladoras fiscales. Aunque a menudo se subestiman, su gestión eficiente evita desperdicios y contribuye al rendimiento operativo. **IMPOTANCIA de los DATOS** De todos los elementos, **los datos son los más críticos**, ya que su pérdida o alteración puede ser irreversible. A diferencia del hardware o software, que se pueden reinstalar o reemplazar, los datos reflejan el **trabajo acumulado** y se modifican continuamente. Por esta razón, es esencial diseñar una **política de seguridad**, incluyendo: - **Copias de seguridad (backups)** programadas. - **Almacenamiento seguro y eficiente** de los archivos. - **Espacio adecuado** y control de privacidad. - **Acceso rápido a la información** en caso de necesidad. **TIPOS de ATAQUES a los DATOS** Los ataques a los datos se dividen en cuatro categorías según el objetivo que afectan: 1. **Interrupción (Ataque contra la disponibilidad):** 2. **Interceptación (Ataque contra la confidencialidad):** - **Interceptación de identidad:** Cuando se obtiene información sobre los usuarios a través de las cabeceras de los paquetes de red. - **Sniffing:** Monitoreo del tráfico de red sin permiso. 3. **Fabricación (Ataque contra la autenticidad):** 4. **Modificación (Ataque contra la integridad):** **¿DE qué nos PROTEGEMOS?** La seguridad informática busca resguardar nuestros sistemas y datos de una amplia variedad de amenazas, principalmente humanas, pero también ambientales. La pregunta de qué debemos protegernos es fundamental para entender los riesgos en este ámbito. **AMENAZAS HUMANAS** La mayoría de las amenazas a la seguridad provienen de las acciones de personas, ya sean atacantes malintencionados o factores internos. Aquí se incluyen varias categorías de atacantes: 1. **Factores Humanos:** 2. **Personal y Ex-Empleados:** 3. **Hackers, Crackers y Lamers:** - **Hackers:** Expertos que comprenden profundamente los sistemas. Pueden actuar con buenas o malas intenciones. - **Crackers:** Similares a los hackers en conocimiento, pero sin una ética que les impida causar daño. - **Lamers:** Novatos con intenciones de aprender, pero que no comprenden completamente los sistemas. A menudo son despreciados por hackers y crackers. 4. **Clickeadores y Gecece:** - **Clickeadores:** Usuarios que solo utilizan interfaces gráficas y carecen de habilidades avanzadas. - **Gecece:** Usuarios que usan la consola pero carecen de entendimiento profundo del código. Se basan en programas creados por hackers. 5. **Intrusos por Paga:** 6. **Ciberterroristas:**\ Atacan con fines ideológicos o políticos, utilizando sus habilidades para causar daño a organizaciones o individuos que perciben como adversarios. 7. **Software con Errores:** 8. **Puertas Traseras:** 9. **Otros Métodos:** **FACTORES NO HUMANAS** Además de las amenazas humanas, existen **factores ambientales** que pueden afectar la seguridad informática. Estos incluyen: 1. **Amenazas Ambientales:** 2. **Riesgos de Baja Probabilidad:** **NECESIDADD de un ENFOQUE GLOBAL en la SEGURIDAD en los SISTEMAS de INFORMACIÓN** La seguridad de los sistemas de información es un aspecto crítico que requiere un enfoque integral. A menudo se compara con una cadena, donde la fortaleza de la seguridad depende del eslabón más débil. Si bien existen mecanismos de autenticación y control que restringen el acceso de los usuarios, estos pueden complicar la experiencia del usuario, especialmente a medida que la red crece y las instrucciones se vuelven más complejas. Por lo tanto, es esencial que la seguridad no obstruya el uso efectivo de los sistemas de información. **ELEMENTOS de un ENFOQUE GLOBAL** Para abordar la seguridad de manera efectiva, se deben considerar varios componentes clave: 1. **Concientización del Usuario:** 2. **Seguridad Lógica:** 3. **Seguridad en las Telecomunicaciones:** 4. **Seguridad Física:** **IMPLEMENTACIÓN de una POLÍTICA de SEGURIDAD** Para implementar una política de seguridad efectiva, se deben seguir ciertas etapas: 1. **Identificación de Necesidades y Riesgos:** 2. **Establecimiento de Reglas y Procedimientos:** 3. **Control y Detección de Vulnerabilidades:** 4. **Definición de Protocolos de Respuesta:** **CAPACITACIÓN y CONCIENTIZACIÓN de los USUARIOS** La seguridad de los sistemas informáticos depende en gran medida de la formación de los usuarios. Las organizaciones deben: - Proporcionar sesiones de capacitación sobre las reglas de seguridad. - Establecer un mecanismo de seguridad que se ajuste a las necesidades de la empresa. - Implementar un procedimiento para administrar actualizaciones y copias de seguridad. - Diseñar un plan de recuperación ante incidentes y mantener un sistema de documentación actualizado. **CAUSAS de INSEGURIDAD** La inseguridad se puede dividir en dos categorías: 1. **Inseguridad Activa:** 2. **Inseguridad Pasiva:** **ETAPA de DEFINICIÓN** El primer paso en la implementación de una política de seguridad es definir las necesidades específicas de la organización. Esto incluye: 1. **Identificación de Necesidades:** - Crear un inventario del sistema de información, que abarque: - Personas y funciones. - Materiales y servidores. - Esquemas de red. - Nombres de dominio. - Infraestructura de comunicación (routers, conmutadores, etc.). - Información delicada que requiera protección. 2. **Análisis de Riesgos:** 3. **Definición de la Política de Seguridad:** **ANÁLISIS de los RIESGOS** El análisis de riesgos es una etapa fundamental en la gestión de la seguridad de la información, ya que permite identificar y evaluar las amenazas a las que está expuesta una organización. A continuación, se detallan los pasos para realizar un análisis efectivo: 1. **Identificación de Riesgos:** 2. **Estimación de Probabilidades:** - **Infundado (Improbable):** La amenaza es poco probable. - **Débil:** La amenaza tiene escasas probabilidades de ocurrir. - **Moderada:** La amenaza es real y plausible. - **Alta:** La amenaza tiene altas probabilidades de materializarse. 3. **Estudio del Impacto:** 4. **Tabla de Riesgos:** **DEFINICIÓN de la POLÍTICA de SEGURIDAD** La política de seguridad es un documento crítico que establece los objetivos de seguridad y las medidas a implementar para alcanzarlos. Para redactar una política de seguridad efectiva, se deben considerar los siguientes aspectos: - **Inclusión de Todos los Niveles:** - **Definición de Reglas y Procedimientos:** - **Comunicación a los Empleados:** - **Métodos de Desarrollo:** **ETAPA de IMPLEMENTACIÓN** La implementación de la política de seguridad implica establecer los métodos y mecanismos necesarios para garantizar un entorno seguro: 1. **Mecanismos de Protección:** - **Firewalls:** Actúan como barreras para proteger la red de accesos no autorizados, aunque no garantizan la confidencialidad de los datos. - **Algoritmos Criptográficos:** Aseguran la confidencialidad de los datos que circulan por la red. - **Redes Virtuales Privadas (VPN):** Proporcionan una capa adicional de seguridad al cifrar la información transmitida. **CONCEPTO de AUDITORÍA** La auditoría de seguridad es un proceso en el que una tercera parte, especializada en seguridad informática, verifica la aplicación de las medidas de protección según la política de seguridad: - **Verificación de Reglas:** - **Metodología:**\ Una auditoría eficaz considera tanto elementos técnicos como organizacionales y humanos. **PRUEBAS de INTRUSIÓN** Las pruebas de intrusión, o \"pen tests\", se utilizan para evaluar la efectividad de las medidas de protección de la organización, utilizando dos enfoques: 1. **Método de Caja Negra:** 2. **Método de Caja Blanca:** Es crucial obtener el consentimiento de la alta dirección antes de realizar estas pruebas, ya que pueden causar daños significativos. **ETAPA de DETECCIÓN de INCIDENTES** Para mantener un sistema seguro, es necesario implementar medidas que permitan detectar incidentes de manera efectiva: 1. **Sistemas de Detección de Intrusiones (IDS):** 2. **Gestión de Falsas Alarmas:** **ETAPA de REACCIÓN** La etapa de reacción es crucial y a menudo se subestima en la planificación de seguridad informática. Debe incluir: 1. **Planificación de Respuestas:** 2. **Pruebas para Investigaciones Judiciales:** 3. **Desarrollo de un Plan de Recuperación de Desastres:** - Registro de la fecha y detalles de la intrusión. - Estrategias para limitar la propagación de daños. - Procedimientos para restaurar datos y sistemas. 4. **Simulacros y Pruebas de Planes:** **RESTAURACIÓN y PRÁCTICA del PLAN contra DESASTRES** Un plan de recuperación debe incluir: - **Documentación de la intrusión:** - **Restricción de Daños:** - **Comparación de Datos:** - **Configuración de un Sitio de Reemplazo:** La práctica regular del plan contra desastres es fundamental para asegurar que todos los involucrados sepan cómo reaccionar ante un incidente. Esto contribuye a minimizar el tiempo de inactividad y las pérdidas económicas, así como a preservar la reputación de la organización. **UNIDAD 8** **CREACIÓN de un PLAN de SEGURIDAD** 1. **Importancia del Plan**: Cada red, por pequeña que sea, necesita un plan de seguridad. Este plan debe detallar las medidas de seguridad existentes y las acciones a seguir en caso de una brecha de seguridad. **DIVISIÓN de la COMPAÑÍA en GRUPOS** 2. **Grupos de Seguridad**: Dividir la empresa en grupos facilita la gestión de la seguridad. Las agrupaciones pueden basarse en: - **Departamento**: Agrupar según necesidades de seguridad similares dentro de cada departamento. - **Rango**: Diferenciar accesos según el nivel jerárquico (empleados vs. gerentes). - **Equipo**: Agrupar por equipos que trabajan en proyectos específicos, manteniendo la información sensible dentro del equipo. - **Nivel de Habilidad**: Limitar accesos a nuevos empleados hasta que estén capacitados. - **Nivel de Sensibilidad**: Crear grupos de acceso restringido a información confidencial. - **Grupos Temporales**: Para empleados o proyectos que no son permanentes. **MEJORES PRÁCTICAS para la SEGURIDAD INFORMÁTICA** 3. **Cultura de Seguridad**: Fomentar prácticas de seguridad que incluyan: - Uso de contraseñas fuertes y la importancia de no compartirlas. - Cambio periódico de contraseñas, especialmente en sistemas expuestos. - Implementación de software antivirus y antispyware. - Configuración adecuada de permisos de acceso. **SEGURIDAD ADMINISTRATIVA** 4. **Políticas y Normas**: Establecer políticas claras sobre el uso de sistemas y recursos, así como procedimientos para la gestión de la seguridad. Las políticas deben definir: - Alcance y aplicabilidad. - Responsabilidades de implementación. - Clasificación de información confidencial y pública. **SEGURIDAD LÓGICA** 5. **Identificación de Vulnerabilidades**: Realizar pruebas de seguridad periódicas y ajustar sistemas según los hallazgos. **SEGURIDAD TÉCNICA** 6. **Controles Técnicos**: Implementar controles técnicos de seguridad, como autentificación en conexiones remotas y encriptación de datos. También se deben utilizar herramientas para el monitoreo de la red. **SEGURIDAD FÍSICA** 7. **Acceso Controlado**: Proteger físicamente los equipos y servidores, asegurando un acceso restringido. Considerar las condiciones ambientales y de energía para mantener la operación. 8. **Condiciones Ambientales**: Mantener una temperatura adecuada en centros de datos y utilizar sistemas de extinción de incendios apropiados para proteger los equipos. **MÉTODOS y HERRAMIENTAS de ATAQUE** **1. Intercepción de Datos** - **Eavesdropping y Packet Sniffing**: Técnicas pasivas que permiten interceptar el tráfico de red sin alterarlo. Los atacantes pueden capturar información sensible, como credenciales de usuario y datos financieros, a través de programas de análisis de tráfico. **2. Snooping y Downloading** - **Snooping**: Acceso no autorizado a documentos y mensajes, con el objetivo de obtener información confidencial. - **Downloading**: Descarga de datos de un sistema a la computadora del atacante, a menudo utilizada para espionaje corporativo. **3. Modificación de Datos** - **Tampering o Data Diddling**: Alteración no autorizada de datos o software. Este tipo de ataque puede ser devastador si se realiza con privilegios de administrador, llevando a la pérdida total de información. **4. Suplantación** - **Spoofing**: Actuar en nombre de otros usuarios para realizar acciones maliciosas, como enviar correos electrónicos fraudulentos. Involucra técnicas como IP spoofing. **5. Interrupción de Servicios** - **Jamming o Flooding**: Saturar los recursos del sistema para hacerlo inoperativo. Los atacantes pueden enviar gran cantidad de tráfico o mensajes que abrumen los servidores. **6. Malware** - **Caballos de Troya**: Programas maliciosos que, una vez ejecutados, pueden realizar acciones no autorizadas en el sistema del usuario. - **Bombas Lógicas**: Incluir código que se activa en un momento específico para causar daños. **7. Ingeniería Social** - **Técnicas de Manipulación**: Convencer a las personas para que revelen información confidencial, como contraseñas, a través de engaños. **8. Difusión de Virus** - **Virus Informáticos**: Software que se replica y se propaga a través de redes, a menudo causando daños en el sistema. **9. Explotación de Vulnerabilidades** - **Errores de Diseño y Seguridad**: Aprovechar fallos en la programación y configuración de sistemas para obtener acceso no autorizado o sabotear operaciones. **10. Eliminación de Objetivos** - **Ping Mortal**: Un ataque que causa que el sistema de destino se cuelgue al recibir un paquete ping excesivamente grande. **AUDITORÍA** La auditoría es un examen sistemático y objetivo de los estados financieros, procesos, sistemas o cualquier otra actividad de una organización, con el objetivo de evaluar la precisión y la conformidad con las normativas aplicables. La auditoría puede ayudar a las organizaciones a identificar áreas de mejora y a asegurar la transparencia y la responsabilidad en su gestión. **TIPOS de AUDITORÍA** 1. **Auditoría Externa o Legal**: - **Definición**: Es realizada por auditores independientes de la organización. Su objetivo principal es evaluar si los estados financieros de una entidad representan de manera justa su situación financiera y su rendimiento, de acuerdo con los principios de contabilidad generalmente aceptados. Además, estas auditorías son requeridas por leyes o regulaciones. 2. **Auditoría Interna**: - **Definición**: Es llevada a cabo por personal de la propia organización. Su propósito es evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobernanza. La auditoría interna proporciona a la dirección un análisis objetivo de los procesos internos y puede ayudar a identificar áreas de mejora. 3. **Auditoría Operativa**: - **Definición**: Se centra en la evaluación de la eficiencia y la eficacia de las operaciones de una organización. Busca determinar si se están alcanzando los objetivos establecidos y si los recursos se están utilizando de manera óptima. Esto incluye la revisión de procesos, procedimientos y la efectividad de la gestión operativa. **DEFINICIONES de TÉRMINOS RELACIONADOS** 1. **Imagen Fiel**: - **Definición**: Se refiere a la representación precisa y veraz de la situación financiera de una entidad en sus estados financieros. Implica que los datos contables reflejan fielmente la realidad económica de la empresa y son útiles para la toma de decisiones. 2. **Medio Ambiente**: - **Definición**: Entorno físico natural, incluidos el aire, la tierra, flora, etc. 3. **Normalización Contable**: - **Definición**: Es el proceso de establecer reglas y principios contables uniformes que deben ser seguidos por las entidades al preparar sus estados financieros. Esto busca garantizar la comparabilidad y consistencia de la información financiera. 4. **Normas de Valoración**: - **Definición**: Son principios que establecen cómo deben ser evaluados los activos, pasivos y el patrimonio en los estados financieros. Estas normas proporcionan directrices sobre cómo medir el valor de los elementos contables y asegurar su reconocimiento adecuado. 5. **Patrimonio:** - **Definición:** Conjunto de bienes, derechos y obligaciones de una unidad económica. 6. **Principio de Importancia Relativa**: - **Definición**: Este principio establece que la información financiera debe ser presentada de manera que su omisión o error no influya en las decisiones económicas de los usuarios. Es decir, se permite cierta flexibilidad en el cumplimiento de normas si la información es irrelevante. 7. **Principio de Prudencia**: - **Definición**: Este principio sugiere que se deben adoptar medidas conservadoras al elaborar los estados financieros. Implica que las ganancias no deben ser sobrestimadas y los gastos no deben ser subestimados, garantizando que la información presentada sea conservadora y fiable. 8. **Transacciones**: - **Definición**: Se refiere a cualquier evento económico que afecta a la situación financiera de una entidad y que puede ser medido en términos monetarios. Esto incluye la compra y venta de bienes, la contratación de servicios, el pago de salarios, entre otros. **CONTROL** El control es cualquier actividad o acción, realizada manual y/o automáticamente, para prevenir y corregir errores o irregularidades que pueden afectar el funcionamiento de un sistema, con el objetivo de lograr sus metas. **CONTROL INTERNO** El control interno es un proceso llevado a cabo por los miembros de una organización, que busca proporcionar un grado razonable de confianza en la consecución de objetivos en las siguientes áreas: - **Eficacia y eficiencia de las operaciones.** - **Fiabilidad de la información financiera.** - **Cumplimiento de las leyes y normas aplicables.** **OBJETIVOS del CONTROL INTERNO:** El control interno incluye un plan de organización y todos los métodos y procedimientos que se adoptan para: - Salvaguardar los activos. - Verificar la razonabilidad y confiabilidad de la información financiera. - Promover la eficacia operacional. - Asegurar la adhesión a las políticas establecidas por la administración. **EVOLUCIÓN del CONTROL INTERNO** Tradicionalmente, el control interno se enfocaba en los controles contables, siendo de interés principalmente para el personal financiero y auditores externos. Sin embargo, factores como la globalización, la diversificación, la eliminación de negocios no rentables, la introducción de nuevos productos y servicios, y las fusiones han ampliado la importancia y el ámbito del control interno. **CONTROL INTERNO INFORMÁTICO** El control interno informático es un sistema integrado en el proceso administrativo que busca proteger los recursos informáticos y mejorar la economía, eficiencia y efectividad de los procesos operativos automatizados. **Tipos de Control Interno Informático** 1. **Controles Manuales**: - Ejecutados por el personal sin herramientas computacionales. 2. **Controles Automáticos**: - Incorporados en el software utilizado en diversas aplicaciones. **Clasificación según Finalidad** 1. **Controles Preventivos**: - Evitan la producción de errores o fraudes (ej. software de seguridad que limita el acceso no autorizado). 2. **Controles Detectivos**: - Descubren errores o fraudes que no fueron evitados previamente. 3. **Controles Correctivos**: - Aseguran que se subsanen los errores identificados por los controles detectivos. **FUNCIONES del CONTROL INTERNO INFORMÁTICO** - **Monitoreo de actividades**: Verificar el cumplimiento de procedimientos y normas, así como la evaluación de su fiabilidad. - **Apoyo a la auditoría informática**: Facilitar el trabajo de auditoría interna y externa. - **Definición e implementación de mecanismos**: Comprobar el nivel de cumplimiento de servicios informáticos. - **Monitoreo en sistemas de cómputo**: Supervisar actividades realizadas en diferentes entornos informáticos. **TAREAS ESPECÍFICAS del CONTROL INTERNO INFORMÁTICO** - Difundir y controlar el cumplimiento de normas y procedimientos entre el personal técnico. - Diseñar la estructura del control interno informático, incluyendo: - Desarrollo y mantenimiento de software de aplicación. - Explotación de servidores. - Seguridad informática. - Gestión de licencias de software. - Relaciones contractuales con terceros. - Fomentar una cultura del riesgo informático en la organización. **IMPORTANCIA del CONTROL INTERNO INFORMÁTICO** La función del control interno informático es vital para asegurar que todas las actividades relacionadas con los sistemas de información se realicen conforme a normas y procedimientos establecidos. Para esto, es fundamental contar con: - Un plan estratégico de información para el área de informática. - Un plan de desarrollo informático. - Un plan general de seguridad (física y lógica). **CONCEPTO de AUDITORÍA** La auditoría es la actividad que consiste en emitir una opinión profesional sobre si el objeto sometido a análisis refleja adecuadamente la realidad que pretende representar o cumple con las condiciones establecidas. Esta actividad se puede descomponer en los siguientes elementos fundamentales: - **Contenido**: Opinión. - **Condición**: Profesional. - **Justificación**: Basada en procedimientos específicos. - **Objeto**: Información en un soporte determinado. - **Finalidad**: Determinar si la información presenta adecuadamente la realidad o responde a las expectativas asignadas. **CLASES de AUDITORÍA** Las auditorías se pueden clasificar en diferentes tipos según el objeto y la finalidad de cada una. A continuación, se detallan algunas de las clases más comunes: **Clase** **Contenido** **Objeto** **Finalidad** -------------- --------------- ----------------------------------------------- ------------------------------------------------- Financiera Opinión Cuentas anuales Presentan realidad Informática Opinión Sistemas de aplicación, recursos informáticos Operatividad eficiente y cumplimiento de normas Gestión Opinión Dirección Eficacia, eficiencia, economicidad Cumplimiento Opinión Normas establecidas Adecuación a las normas **AUDITORÍA INFORMÁTICA** La auditoría informática es un proceso realizado por profesionales capacitados, que incluye la recolección, agrupación y evaluación de evidencias para determinar si un sistema de información: - Salvaguarda los activos empresariales. - Mantiene la integridad de los datos. - Utiliza eficientemente los recursos. - Cumple con leyes y regulaciones. Esta auditoría tiene como objetivo detectar sistemáticamente el uso de recursos y flujos de información dentro de una organización, así como identificar información crítica para el cumplimiento de sus objetivos. **TIPOS de AUDITORÍA** Las auditorías se pueden clasificar según su naturaleza: 1. **Contable**: Revisión de estados financieros para verificar la situación económica de la empresa. 2. **Operativa**: Determina si la empresa utiliza óptimamente sus recursos y procesos. 3. **Financiera**: Análisis de la situación económica y contable, abarcando más que la auditoría contable. 4. **Medioambiental**: Mide el impacto de las actividades de la empresa en el medioambiente y verifica el cumplimiento de estándares legales. 5. **Informática**: Evalúa los softwares y sistemas informáticos adoptados por la empresa. 6. **De calidad**: Verifica el funcionamiento del sistema de calidad según normas ISO. 7. **De cumplimiento**: Comprueba el cumplimiento de buenas prácticas y normativas legales. 8. **De gestión**: Mide la eficiencia en el uso de recursos y analiza si se han alcanzado los objetivos establecidos. **AUDITORIA INTERNA y EXTERNA** - **Auditoría Interna**: Realizada por empleados de la empresa, sin intervención externa, permitiendo un control más directo y objetivo. - **Auditoría Externa**: Llevada a cabo por personal ajeno a la empresa, donde la organización no tiene poder de decisión sobre el proceso de auditoría. **¿CUÁNDO se LLAMA a la AUDITORÍA INFORMÁTICA?** Las auditorías informáticas se convocan generalmente en las siguientes circunstancias: - **Sensación de Inseguridad**: Cuando hay dudas sobre la seguridad de los sistemas informáticos. - **Debilidades Económico-Financieras**: Si se detectan problemas en el desempeño financiero que puedan estar relacionados con la gestión de TI. - **Falta de Coordinación**: Cuando hay desorganización interna y falta de alineación entre el área de TI y el resto de la empresa. - **Imagen Negativa**: Ante una insatisfacción general de los usuarios con respecto a los servicios informáticos. **PRIMEROS PASOS en una AUDITORÍA** Antes de comenzar la auditoría, es crucial establecer un **común acuerdo** entre el auditor y el auditado, que debe incluir: 1. **Claridad en Tareas y Alcance**: Definir con precisión las tareas a realizar y las áreas, actividades y funciones a auditar. 2. **Firma de un Acuerdo**: Formalizar la relación mediante una carta que detalle los alcances y objetivos de la auditoría. **ALCANCE y OBJETIVOS de la AUDITORÍA INFORMÁTICA** Los objetivos de la auditoría informática deben evaluarse según criterios como: - **Exactitud**: Verificar que los datos sean ingresados y mantenidos correctamente. - **Totalidad**: Asegurar que todos los datos relevantes se mantengan. - **Integridad**: Evaluar la combinación de exactitud y totalidad. - **Confidencialidad**: Garantizar que el acceso a los recursos esté limitado a personal autorizado. - **Propiedad**: Confirmar que cada activo tenga un propietario único responsable. - **Existencia**: Validar que los datos relevantes existan en un momento determinado. - **Valuación**: Asegurar que las transacciones tengan un costo claramente definido. - **Eficacia**: Medir el cumplimiento de los objetivos y metas establecidas. - **Eficiencia**: Evaluar el uso óptimo de recursos, minimizando desperdicios. **METODOLOGÍA de AUDITORÍA INFORMÁTICA** Los pasos típicos en la auditoría informática incluyen: 1. **Definición de Alcance y Objetivos**: Establecer claramente qué se va a auditar. 2. **Estudio del Entorno**: Analizar el entorno auditable para comprender los recursos y procesos existentes. 3. **Determinación de Recursos**: Evaluar qué recursos se necesitan para realizar la auditoría. 4. **Elaboración del Plan de Trabajo**: Diseñar un plan detallado con actividades específicas. 5. **Ejecutar la Auditoría**: Llevar a cabo las actividades auditivas planificadas. 6. **Redacción del Informe Final**: Documentar los hallazgos y recomendaciones. 7. **Carta de Presentación**: Redactar una carta que introduzca el informe final a las partes interesadas. **BENEFICIOS de la AUDITORÍA INFORMÁTICA** La auditoría informática proporciona varios beneficios, incluyendo: - Mejora de la imagen pública de la organización. - Aumento de la confianza de los usuarios en la seguridad y control de los servicios de TI. - Optimización de las relaciones internas y mejora del clima laboral. - Reducción de costos derivados de mala calidad (reprocesos, reclamos, etc.). - Generación de un balance de riesgos en TI. - Control de inversiones en un entorno tecnológico a menudo impredecible. **ÁREAS de ENFORQUE de la AUDITORÍA INFORMÁTICA** La auditoría informática puede aplicarse en varias áreas, como: - Gobierno corporativo. - Administración del ciclo de vida de los sistemas. - Servicios de entrega y soporte. - Protección y seguridad. - Planes de continuidad y recuperación ante desastres. **ESTÁNDARES y CERTIFICACIONES** La necesidad de contar con lineamientos estándar ha impulsado el desarrollo de mejores prácticas como COBIT, COSO e ITIL. Además, la certificación **CISA (Certified Information Systems Auditor)** de ISACA es altamente reconocida a nivel internacional y requiere que los profesionales mantengan sus conocimientos actualizados a través de formación continua. **FASES de la AUDITORÍA INFORMÁTICA** El proceso de auditoría informática implica varias fases: 1. **Recolección y Evaluación de Evidencias**: Determinar cómo se salvaguardan los activos y se mantiene la integridad de los datos. 2. **Objetivos Tradicionales de Auditoría**: Incluir la salvaguarda de activos y la integridad de los datos. 3. **Objetivos Gerenciales**: Considerar eficacia y eficiencia en el uso de recursos y cumplimiento de objetivos. **NORMAS de AUDITORÍA INFORMÁTICA INTERNA** Las normas para la auditoría informática interna incluyen: - Planeación de la auditoría, estableciendo objetivos y alcance. - Obtención de información de apoyo sobre las áreas a auditar. - Definición de cómo y cuándo se comunicarán los resultados. - Especificación de recursos necesarios. - Producción de informes de actividades. **PLANEACIÓN ADECUADA** Para una adecuada planeación, se debe considerar: - Programas de trabajo de auditoría. - Planes de contratación de personal y presupuesto. - Informes de actividades. **METODOLOGÍA de EVALUACIÓN en AUDITORÍA INFORMÁTICA** La evaluación de los sistemas informáticos en auditorías se clasifica en dos categorías: 1. **Cuantitativas**: Utilizan modelos matemáticos y numéricos, basándose en métodos estadísticos y lógica difusa. Aunque requieren de un profesional con experiencia para su implementación, demandan menos recursos humanos y tiempo en comparación con las cualitativas. 2. **Cualitativas**: Basadas en el criterio y el razonamiento del auditor, estas metodologías aprovechan la experiencia acumulada para seleccionar procesos de trabajo. Su objetivo es generar una lista de riesgos que puedan ser fácilmente comparados y asignados valores numéricos, extraídos de registros de incidencias que reflejan las probabilidades de ocurrencia de eventos. **TIPOS de AUDITORÍA INFORMÁTICA** Los tipos de auditoría informática abarcan varias áreas, entre ellas: - **Auditoría de la gestión**: Evaluación de la contratación de bienes y servicios, así como la documentación de programas. - **Auditoría legal del Reglamento de Protección de Datos**: Verificación del cumplimiento de las medidas de seguridad requeridas por la legislación vigente en protección de datos. - **Auditoría de los datos**: Incluye la clasificación de datos y análisis de aplicaciones y flujogramas. - **Auditoría de bases de datos**: Se centra en controles de acceso, actualización, integridad y calidad de los datos. - **Auditoría de la seguridad**: Abarca la disponibilidad, integridad, confidencialidad, autenticación y no repudio de la información. - **Auditoría de seguridad física**: Evaluación de la ubicación de la organización y la implementación de medidas de seguridad externas (por ejemplo, CCTV, vigilancia). - **Auditoría de seguridad lógica**: Comprende métodos de autenticación y acceso a sistemas de información. - **Auditoría de las comunicaciones**: Evaluación de procesos de autenticación en los sistemas de comunicación. - **Auditoría de seguridad en producción**: Enfocada en la prevención de errores, accidentes y fraudes. - **Auditoría a empleados**: Análisis de accesos no autorizados y vulnerabilidad de claves, así como errores y accidentes. **OTRAS CATEGORÍAS de AUDITORÍA** Además de las auditorías mencionadas, existen otras categorías, como: - **Auditoría operacional**: Revisión de la eficiencia de las operaciones de la empresa, incluyendo permisos de empleados y accesos a sistemas. - **Auditoría administrativa**: Evaluación de la organización y eficiencia del personal y procesos administrativos. - **Auditoría social**: Análisis del entorno social en el que opera la empresa, considerando aspectos que pueden influir en la productividad. **IMPORTANCIA de la AUDITORÍA INFORMÁTICA** La auditoría informática es crucial para la evaluación independiente de actividades, funciones específicas y resultados operativos de una organización. La independencia del auditor es fundamental para garantizar la objetividad de los resultados, evitando cualquier tipo de influencia. Los equipos de auditoría suelen ser multidisciplinarios, compuestos por profesionales de áreas como Ingeniería Informática, Ingeniería Técnica en Informática y Derecho, con especialización en auditoría. **PRUEBAS y HERRAMIENTAS para la AUDITORÍA INFORMÁTICA** Durante la auditoría informática, se pueden realizar las siguientes pruebas: - **Pruebas sustantivas**: Estas verifican el grado de confiabilidad del sistema operativo y pueden incluir observaciones, cálculos, muestreos, entrevistas, revisiones y conciliaciones. Se enfocan en la exactitud, integridad y validez de la información. - **Pruebas de cumplimiento**: Evalúan el cumplimiento de las normativas y controles establecidos, proporcionando evidencia de que los controles clave son efectivos y se aplican uniformemente. **ÁREAS a AUDITAR en INFORMÁTICA** Las auditorías informáticas pueden aplicarse a: - **Toda la entidad**: Auditoría global que abarca todos los sistemas y procesos de la organización. - **Una función**: Evaluación de un área específica dentro de la organización. - **Una subfunción**: Análisis más detallado de un proceso o sistema concreto. **PERFIL del AUDITOR INFORMÁTICO** El auditor informático debe poseer un perfil que le permita desempeñar su labor con calidad y efectividad. Este perfil incluye: 1. **Conocimientos Tecnológicos Actualizados y Especializados**: Dominio de las últimas tecnologías, herramientas y metodologías en el ámbito de la auditoría informática. 2. **Normas y Estándares para la Auditoría Interna**: Familiaridad con los marcos normativos y estándares relevantes que guían la práctica de la auditoría. 3. **Políticas Organizacionales sobre Información y Tecnologías**: Comprensión de las políticas internas que rigen el uso de la información y las tecnologías dentro de la organización. 4. **Conocimiento de la Organización**: - **Ética**: Entender y aplicar principios éticos en la práctica de la auditoría. - **Estructura Organizacional**: Conocer la jerarquía y la organización interna. - **Tipo de Supervisión Existente**: Familiaridad con los métodos de supervisión en la empresa. - **Presión Laboral sobre los Empleados**: Reconocimiento del ambiente laboral y sus desafíos. - **Historia de la Organización**: Comprender el contexto y evolución de la empresa. - **Cambios Recientes en la Administración**: Estar al tanto de las modificaciones en la gestión. - **Operaciones o Sistemas**: Conocer las operaciones diarias y sistemas utilizados. - **Ambiente en el que se Desempeña la Organización**: Evaluar el contexto externo que podría influir en la organización. - **Aspectos Legales**: Comprender las regulaciones y leyes aplicables. **PRINCIPIOS DEONTOLÓGICOS** Los principios éticos que guían la actividad profesional del auditor incluyen: - **Beneficio del Auditado**: La organización tiene la libertad de elegir su auditor. - **Independencia**: Evitar influencias que puedan alterar los resultados. - **Información Suficiente/Veracidad**: Las evidencias deben ser concretas y reales. - **Cautela**: Ser consciente de que las conclusiones pueden tener consecuencias. - **Ética Profesional**: Evitar actos ilícitos o falsos. - **Confianza**: Mantener un diálogo sincero y transparente. - **Criterio**: Utilizar la experiencia y conocimiento sin sesgos. - **Discreción**: Proteger la confidencialidad de la información. - **Secreto Profesional**: No divulgar ni aprovechar la información confidencial. - **Calidad**: Proveer servicios que cumplan las expectativas del auditado. - **Concentración**: Enfocarse en los objetivos y metas. - **Capacidad**: Ser consciente de sus habilidades y limitaciones. - **Formación Continua**: Compromiso con la actualización permanente en su campo. **METODOLOGÍAS de AUDITORÍA INFORMÁTICA** **OCTAVE** La metodología **Octave** (Operationally Critical Threat, Asset, and Vulnerability Evaluation) se centra en la evaluación de riesgos y la planificación técnica de la seguridad informática. Características clave incluyen: - **Enfoque Interno**: Los miembros de la organización son responsables de establecer la estrategia de seguridad, lo que permite capturar el estado actual de la seguridad desde el conocimiento interno. - **Orientación a Riesgos Organizacionales**: Se centra en los riesgos que afectan a la organización en su conjunto, más allá de la tecnología. - **Flexibilidad**: Puede adaptarse a diferentes tipos de organizaciones y contextos. - **Equipo Multidisciplinario**: La evaluación es llevada a cabo por un equipo que incluye personal de TI y otros departamentos relevantes para abordar la seguridad de manera integral. **MAGERIT** La metodología **Magerit** (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) fue desarrollada en España para abordar los riesgos en la seguridad informática. Sus fases incluyen: 1. **Planificación del Proyecto**: Establece un marco de referencia general para la auditoría. 2. **Análisis de Riesgos**: Determina el estado y la protección de los activos de información. 3. **Gestión de Riesgos**: Selecciona e implementa medidas de seguridad para prevenir, reducir o controlar los riesgos identificados. **OBJETIVOS de MAGERIT**: - Conocer el nivel de riesgo actual de los activos. - Mejorar las aplicaciones de salvaguardas. - Garantizar la autenticación, confidencialidad, integridad y disponibilidad de los sistemas de información.

Resumen 2do Parcial Sistemas PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue