Académique Documents
Professionnel Documents
Culture Documents
procesar.
2. Verificacin: confirmacin de la identidad. Para fines de verificacin, el usuario manifiesta su
identidad con el sistema biomtrico de antemano (por ejemplo, su ID de usuario se introduce
a travs de un teclado o un chip de la tarjeta). Luego, el sistema slo tiene que comparar el
elemento biomtrico con una caracterstica de referencia que coincide con el ID de usuario.
3. Autenticacin: certificado de autenticidad (documento de identidad, por ejemplo, mediante la
identificacin o verificacin).
4. Autorizacin: Despus de una autenticacin exitosa (identificacin o verificacin), utilizando
un sistema biomtrico, a una persona se da el permiso para llevar a cabo determinadas
acciones o de utilizar ciertos servicios.
Los sistemas de reconocimiento biomtrico procesan los datos biomtricos de una persona con el
objetivo de confirmar o rechazar la identidad de esta mediante el uso de datos de referencia
previamente seleccionados.
En general, todos los sistemas biomtricos contienen los siguientes componentes: entrada de datos,
pre-tratamiento, extraccin de caractersticas, clasificacin y clculo de datos de referencia.
Hoy da, la demanda de procedimientos confiables de identificacin es cada vez mayor. En la
actualidad, se encuentra por ejemplo, con la identificacin personal en el comercio electrnico,
servicios de control de acceso, en la lucha contra el terrorismo, etc.
Son cada vez ms complejas las tecnologas para la identificacin personal. Mediante el uso de
procesos de identificacin, por ejemplo, es posible regular el acceso a determinados objetos
mediante la concesin de ciertos derechos.
Con el avance de la tecnologa, la cuestin de la seguridad se ha vuelto ms importante. Para los
controles de acceso, el anlisis biomtrico de las huellas dactilares ha venido desempeando un
papel cada vez ms significativo.
AUDITORIA
rea a auditar: Manejo de sistemas de reconocimiento biomtrico.
La recopilacin de informacin de la auditora a realizar se utilizar el siguiente instrumento:
ENTREVISTA
1. Se capacit al personal de la empresa que debe utilizar esta tecnologa, en cuanto al manejo
y precauciones a tener en cuenta?
2. Existen en la empresa medidas para la prevencin y manejo de riesgos en el uso de de
sistemas de reconocimiento biomtrico?
3. Para la implantacin de la tecnologa, Se tuvo en cuenta los diferentes tipos de caractersticas
con los cuales se pueden identificar los seres humanos?
4. Existe el soporte acerca de esta tecnologa que garantice la ptima la operacin de esta
tecnologa?
5. Se tienen planes de contingencia en caso del fallo del sistema de reconocimiento biomtrico
o algn dispositivo de la tecnologa?
6. Existen polticas formalmente definidas y publicadas sobre el manejo de los sistemas de
reconocimiento biomtrico?
RFID (SISTEMAS DE IDENTIFICACION POR RADIOFRECUENCIA)
Sistema de almacenamiento y recuperacin de datos remotos que usa dispositivos denominados
etiquetas o tags RFID. El propsito fundamental de esta tecnologa, es transmitir la identidad de un
objeto (similar a un nmero de serie nico) mediante ondas de radio.
Las tecnologas RFID se agrupan dentro de las denominadas Auto ID (identificacin automtica). Las
etiquetas RFID son unos dispositivos pequeos, similares a una pegatina, que pueden ser adheridas
o incorporadas a un producto, animal o persona.
Los sistemas de transferencia de datos sin contacto (contactless) son llamados RFID (Radio
Frequency Identification). Esta tecnologa tiene muchsimas y avanzadas ventajas, tales como: alta
capacidad de informacin, la informacin de los tags se puede leer y re escribir, no se requiere
contacto ni vista directa entre los tags y el lector.
Los sistemas RFID estn formados siempre por dos elementos:
El transponder (chip con antena), que est colocado en el objeto que hay que identificar
El lector (RFID reader), que, dependiendo de la tecnologa utilizada y de la aplicacin, puede
ser un dispositivo slo de lectura o de lectura/escritura.
Los sistemas de RFID constituyen una va importante de desarrollo en el marco de la computacin
ubicua o penetrante. RFID es un mtodo de identificacin automtico y ha sido cada vez ms la
atencin pblica actual. Si bien RFID en trminos sencillos, propone el significado de identificacin
General pgina 2
atencin pblica actual. Si bien RFID en trminos sencillos, propone el significado de identificacin
sin contacto. Adems se usarse para distintos mtodos de identificacin personal, son un nuevo
mtodo de identificacin de productos, que est compuesto por un lector, una antena y una
etiqueta de radiofrecuencia. Este sistema es muy utilizado por los agentes de la cadena de
suministros para reducir costes de identificacin de existencias. Este sistema est llamado a ser el
sustituto del cdigo de barras. Sin embargo la privacidad de estos sistemas est en entredicho ya
que esta tecnologa no se desactiva una vez adquirido el producto por el cliente y permite que el
control del producto contine aunque haya concluido la cadena de fabricacin y distribucin. Otro y
no menos importante problema que presenta est tecnologa es la aparicin de nuevos ataques en
forma de virus especializados para este software.
Las etiquetas reaccionan al ser expuestas a una seal de radiofrecuencia y devuelven un pequeo
cdigo numrico. Un atacante malintencionado puede modificar este cdigo y producir fallos en el
sistema que podran llegar incluso a la inutilizacin completa del mismo. En realidad el fallo en la
tecnologa se produce en el lector del cdigo que puede malinterpretar los datos captados en la
etiqueta.
AUDITORIA
rea a auditar: Manejo de sistemas RFID
Para la recopilacin de informacin de la auditora a realizar se utilizarn los siguientes
instrumentos:
ENTREVISTA
1. En qu reas de la empresa se utiliza la identificacin del personal con esta tecnologa?
2. Se capacita al personal de la compaa sobre los riesgos del uso de estos sistemas y que se
hace para mitigar estos riesgos?
3. Existen polticas definidas en la empresa, para el manejo de la tecnologa y est claramente
conocida y comprendida por el personal que la utiliza?
4. Se tienen evaluados los diferentes tipos de ataques que pueden recibir los dispositivos RFID
de la compaa? Mencione dichos ataques.
5. Existen medidas preventivas frente a posibles ataques efectuados a los sistemas RFID?
CUESTIONARIO
1. Al momento de la implantacin del sistema RFID, se tuvo en cuenta los procesos de las dems
reas de la empresa que se ven afectadas por dicho sistema?
SI ____ NO____ N/A____
2. La implantacin de la tecnologa fue sistemtica, permitiendo la participacin de todas las
reas de la compaa para los procesos de pruebas y evaluacin?
SI ____ NO____ N/A____
3. Existe documentacin relacionada con la planeacin del proyecto de implantacin del
sistema RFID en la compaa?
SI ____ NO____ N/A____
4. Se realizaron las pruebas necesarias para garantizar la seguridad de los sistemas RFID, al
momento de su implantacin en la compaa?
SI ____ NO____ N/A____
5. Se tienen planes de contingencia en caso del fallo del sistema RFID o algn dispositivo de la
tecnologa?
SI ____ NO____ N/A____
COMPUTACIN/TELEFONA MVIL
Se puede definir la Computacin Mvil como la serie de artefactos y equipos porttiles, hardware,
que hacen uso de la computacin para lograr su funcionamiento, se tiene a las computadoras
porttiles, los telfonos celulares, los cuadernos de notas computarizados, las calculadoras de
bolsillo, etc.
La conectividad mvil est comenzando a ganarse un puesto importante en las estrategias de TI de
las empresas. Son muchas las funciones que ofrece esta tecnologa, funciones que en resumen lo
que hacen es reducir costos y aumentar los ingresos de la empresa, y dando un valor agregado a la
empresa, una gran ventaja competitiva.
Algunos de los adelantos y facilidades que nos ofrece esta poderosa tecnologa: Ventas,
automatizacin y gestin de relaciones con los clientes. Seguridad pblica y emergencias. ViajesMapas. Tiempo muerto: La productividad de los datos de la conectividad mvil mejora la
productividad durante los tiempos muertos. Este tiempo es precioso y puede ser utilizado para
comprobar el correo electrnico, responder a solicitudes urgentes o fijar reuniones.
General pgina 3
Como una extensin de estos 2 sistemas surge la computacin ubicua. La computacin ubicua
incorpora 4 conceptos muy importantes, el uso eficaz de espacios, invisibilidad, escalabilidad local y
ocultacin de los desniveles de acondicionamiento. La implementacin de la computacin ubicua
debe cumplir con ciertos requerimientos de hardware de los dispositivos:
1. Miniaturizacin: Microprocesadores ms pequeos. La situacin actual de esta tecnologa
cubre las necesidades de la computacin ubicua.
2. Baja potencia: Procesadores de baja potencia. Es necesario desarrollar microprocesadores que
funcionen en un gran rango de voltajes y que estn provistos de mecanismos automticos
para el ahorro de energa.
3. Conexin sin hilos: La interconexin de todos los elementos que constituyen un entorno
perspicaz y la incorporacin del paradigma de la computacin mvil tienen como consecuencia
la necesidad de establecer comunicaciones sin hilos
El concepto de computacin ubicua es sencillo, contrario a su implementacin, extremadamente
compleja. El listado de los campos abiertos en investigacin y desarrollo, cada uno en un momento
distinto de madurez, justifica la atencin que ha recibido esta nueva rea tecnolgica, por parte de
los programas de investigacin de los pases del primer mundo. Se requiere el esfuerzo conjunto y
colaborativo de investigadores y empresas, a lo largo de esta dcada, para poder desarrollar el
inmenso potencial de esta tecnologa.
AUDITORIA
rea a auditar: Implementacin de Computacin Ubicua.
Para la recopilacin de informacin de la auditora a realizar se utilizarn los siguientes
instrumentos:
ENTREVISTA
1. Qu dispositivos con computacin ubicua maneja en la empresa?
2. Es eficiente el sistema de computacin ubicua?
3. Al implementar un sistema como este, que plan de capacitacin es llevado a cabo?
4. Para qu reas de la empresa seria propia esta tecnologa?
5. Qu personal tiene acceso a estos dispositivos y para que funciones los utilizan?
6. Existe un plan de contingencia se tiene si en algn momento el sistema falla?
CUESTIONARIO
1. Considera necesarios estos dispositivos para los requerimientos tecnolgicos de la empresa?
SI ____ NO____ N/A____
2. Existe el soporte necesario que garantice la ptima la operacin de esta tecnologa?
SI ____ NO____ N/A____
3. Se capacit al personal de la empresa que debe utilizar esta tecnologa?
SI ____ NO____ N/A____
4. Existen en la empresa medidas para la prevencin y manejo de riesgos en el uso de esta
tecnologa?
SI ____ NO____ N/A____
CLOUD COMPUTING
Cloud computing que puede definirse como un modelo inspirado en la idea de disponer de
infraestructuras tecnolgicas de modo que los recursos informticos sean compartidos
dinmicamente, se encuentren virtualizados y resulten accesibles como un servicio. An de esta
manera gran parte de las nuevas tendencias de software como servicio, virtualizacin de recursos,
redes e informtica bajo demanda. En el modelo cloud computing, los grandes clusters de sistemas
se enlazan entre s para proporcionar servicios tecnolgicos como si se tratase de un nico
superordenador global, lo que abre una nueva alternativa a la forma de funcionamiento de las
empresas, que al no depender de sistemas operativos especficos, ampla las opciones al momento
de tomar decisiones relacionadas con tecnologas de informacin (TI).
Permite tambin dar movilidad a los empleados al tener acceso en cualquier sitio con conexin a
internet y concentrar los recursos de la organizacin en sus factores crticos de xito, evitando
preocupaciones por el mantenimiento de sus sistemas de informacin (tanto hardware como
software), al trasladar esta responsabilidad a proveedores externos de estas soluciones informticas.
Dentro de los conceptos a favor que tiene el cloud computing estn:
Computacin a bajo costo
Mejor rendimiento computacional
Reduccin de inversin en software y hardware
Capacidad de almacenamiento ilimitada
General pgina 5
clientes.
Las empresas atradas por la idea de que lo que se publica en la red va a poder ser captado desde
cualquier parte del mundo han hecho que poco a poco el uso de la red se est extendiendo ms all
de lo meramente publicitario.
Si nos limitsemos a entender el E-Commerce como una compra en s, la idea de mundializacin
quedara un tanto restringida en la medida que y tal como hemos apuntado anteriormente la
mayora de las empresas utiliza Internet con fines meramente publicitarios.
Es importante distinguir los tipos de E-Commerce que son: El E-Commerce directo se da cuando
todas sus fases se realizan por medios electrnicos, mientras que en el E-Commerce indirecto o
incompleto no todas sus fases se completan por medios electrnicos.
Lo que est claro es que la entrega de forma electrnica slo va a ser posible cuando el bien a
entregar o el servicio a prestar sea digital, de lo contrario acudiremos a los medios tradicionales de
entregas de bienes o prestacin de servicios. El principal problema u obstculo que hace que no
podamos hablar de E-Commerce directo, obviamente a parte de la entrega, es el tema del pago.
ste constituye el mayor eslabn tanto tcnico como psicolgico que debe ser superado para que se
produzca el despegue definitivo del E-Commerce. Si no hay confianza por parte de los usuarios, si no
hay conocimiento de las diversas formas de pagos existentes en la red y de su seguridad tcnica no
podremos hablar de un E-Commerce propiamente dicho en el que todos sus transacciones se
materialicen a travs de medios electrnicos.
Factores claves del xito en el comercio electrnico
Varios factores han tenido un importante papel en el xito de las empresas de comercio electrnico.
Entre ellos se encuentran:
1. Proporcionar valor al cliente. Los vendedores pueden conseguirlo ofreciendo un producto o
una lnea de producto que atraiga clientes potenciales a un precio competitivo al igual que
suceden en un entorno no electrnico.
2. Proporcionar servicio y ejecucin. Ofrecimiento de una experiencia de compra amigable,
interactiva tal como se podra alcanzar en una situacin cara a cara.
3. Proporcionar una pgina web atractiva. El uso de colores, grficos, animacin, fotografas y
distintas tipografas puede aumentar el xito en este sentido.
4. Proporcionar un incentivo para los consumidores para comprar y retornar. Las promociones
de ventas pueden incluir cupones, ofertas especiales y descuentos. Las webs unidas por links y
los programas de publicidad pueden ayudar en este aspecto.
5. Proporcionar atencin personal. Webs personalizadas, sugerencias de compra y ofertas
especiales personalizadas pueden allanar el camino de sustituir el contacto personal que se
puede encontrar en un punto de venta tradicional.
6. Proporcionar un sentido de comunidad. Las reas de chat, foros, registracin de clientes,
esquemas de fidelizacin y programas de afinidad pueden ayudar.
7. Proporcionar confianza y seguridad. Servidores paralelos, redundancia de hardware,
tecnologa de seguridad ante fallas, encriptacin de la informacin y firewalls lograrn que su
e-commerce funcione en todo momento, logrando crear una imgen de solidez en sus
clientes.
8. Poseer la experiencia total del consumidor. Esto se consigue tratando al consumidor como
parte de una gran experiencia, con lo cual se mejora la percepcin de su marca respecto de
sus competidores.
AUDITORIA
rea a auditar: Implementacin de E-commerce.
La recopilacin de informacin de la auditora a realizar se utilizar el siguiente instrumento:
CUESTIONARIO
1. Se realizan transacciones de E-commerce en la organizacin?
SI ____ NO____ N/A____
2. Se tienen en cuenta los procesos de las dems reas de la empresa que se ven afectadas por
E-commerce?
SI ____ NO____ N/A____
3. Existe documentacin relacionada con la planeacin de proyectos de E-commerce en la
compaa?
SI ____ NO____ N/A____
4. Se realizaron las pruebas necesarias para garantizar la seguridad en las transacciones de Ecommerce en la empresa?
General pgina 7
commerce en la empresa?
SI ____ NO____ N/A____
5. Se tienen planes de contingencia en caso del fallo de dichas transacciones?
SI ____ NO____ N/A____
ELECTRONIC BUSINESS O E-BUSINESS
E-business es la mejora en el funcionamiento de un negocio por medio de la conectividad, la
conexin de la cadena de valor entre negocios, proveedores, aliados y sus clientes con el fin de
lograr mejores relaciones con los clientes, reducir costos al integrar procesos de negocio, adems de
penetrar nichos o segmentos de mercado rentables.
Esta conectividad es manejada por internet y otras tecnologas emergentes que estn redefiniendo
los patrones de compra y venta y en general, los comportamientos de los consumidores e
inversionistas en el mundo. Alrededor de este tema se han desarrollado muchos otros conceptos
relacionados pero no similares entre s. Cuando hablamos de e-commerce hacemos referencia a la
compra y venta de productos y servicios en la red. En otras palabras, este concepto hace parte del
concepto global de e-business.
El e-business no es un negocio de tecnologa de las empresas, es el reto de un nuevo modelo de
negocio y el cambio estratgico de las empresas, de las industrias, de los mercados y en general de
la economa.
Es importante entender que cuando se habla de e-business, se hace referencia al modelo de
economa digital donde se integran transacciones business to business, business to consumer,
business to goverment, business to employee, entre otros conceptos, lo que permite construir un
modelo competitivo de cara al cliente, a los accionistas, a la empresa y socios de negocios mediante
un enfoque visionario que soporte los objetivos estratgicos de negocio en la organizacin.
E-business emplea como medio habilitador diferentes tecnologas (internet, customer relationship
systems, call/web center, data markets, optical cards, WAP technologies, etc.) para facilitar la
conectividad y la relacin entre una empresa y el mundo exterior.
AUDITORIA
rea a auditar: Implementacin de E-bussiness.
La recopilacin de informacin de la auditora a realizar se utilizar el siguiente instrumento:
ENTREVISTA:
1. Se han determinado cuales son los procesos que se desean realizar a travs de E-bussiness?
2. Cules son los recursos para llevar a cabo procesos de E-bussines?
3. Se han realizado evaluaciones acerca de los riesgos que pueden existir al implantar Ebussiness?
4. Existen planes de contingencia en caso de que se presenten fallos permanentes en el
sistema?
5. Se han realizado capacitaciones al personal de la empresa acerca del manejo de E-bussiness?
E-GOVERNMENT
El e-government, e-gobierno o gobierno electrnico consiste en el uso de las tecnologas de la
informacin y el conocimiento en los procesos internos de gobierno y en la entrega de los productos
y servicios del Estado tanto a los ciudadanos como a la industria. Muchas de las tecnologas
involucradas y sus implementaciones son las mismas o similares a aqullas correspondientes al
sector privado del comercio electrnico (o e-business), mientras que otras son especficas o nicas
en relacin a las necesidades del gobierno.
Se basa principalmente en la implantacin de herramientas como portales, ERPs, que en caso de los
gobiernos se conocen como GRPs, CRMs, como redes sociales o comunidades virtuales y muchas
otras, buscando una mejora en la eficiencia y eficacia de los procesos internos y de vinculacin con la
sociedad.
Los elementos bsicos que configuran una solucin eGovernment son: el modelo bsico de
tramitacin(MBT), el sistema de informacin soporte a dichos procesos de eGovernment integrado
a su vez por diversos mdulos, as como la metodologa de implantacin de procedimientos.
EL MODELO BSICO DE TRAMITACIN
La primera gran tarea a abordar a la hora de implantar un escenario de eGovernment es definir el
modelo bsico de tramitacin de la Administracin interesada. El MBT es un esquema bsico de
referencia para la definicin, tramitacin y explotacin de informacin de todos los procedimientos
gestionados en las diferentes unidades organizativas de la Administracin.
General pgina 8
oficina.
3. Los usuarios pueden acceder el sistema de finanzas en lnea desde cualquier computadora en
cualquier parte del mundo.
4. Los usuarios tienen acceso solamente a sus cuentas asignadas.
5. Los clientes pueden llevar un registro de todas sus transacciones financieras.
6. El e-finance da un mejor servicio a los usuarios, ya que los clientes pueden realizar todo tipo
de transacciones financieras desde la comodidad de sus casas si lo desean.
7. Las empresas financieras que implementan el sistema de finanzas en lnea reducen sus costos
de operacin y ahorran tiempo, puesto se reducen las transacciones financieras en persona
(i.e. transacciones en las ventanillas de los bancos) y a que existe economas de escala.
8. Las compaas financieras crean una ventaja competitiva sobre sus competidores directos
debido a que e-finance sirve como barrera de entrada en el mercado.
9. Las empresas pueden ofrecer mayor cantidad de productos e instrumentos financieros como
bonos, acciones, fondos mutuos, transferencias de pago, a travs del Internet.
10. Las empresas financieras pueden atraer a nuevos clientes con la promocin de este sistema.
Deja un comentario
Publicado por reinel1700622819 en 26 noviembre, 2014 en Auditorias Especificas
Etiquetas: AMBIENTES ESPECIALES, SISTEMAS DE RECONOCIMIENTOS BIOMTRICOS RFID
COMPUTACIN/TELEFONA MVIL COMPUTACIN UBICUA CLOUD COMPUTING
En la actualidad, las empresas se han visto obligadas a poseer dentro de su nmina personal
encargado de garantizar la seguridad e integridad de los diversos recursos que posee en el rea de
TI, principalmente enfocndose en el cuidado de la informacin, siendo este el principal recurso para
la toma de decisiones. El trabajo de estas personas debe enfocarse hacia:
Bloquear los accesos no autorizados
Garantizar la disponibilidad constante de los sistemas
Mantener la integridad de la informacin
Mantener la integridad de los procesos
Los integrantes de ste equipo de seguridad deben poseer tambin conocimientos de la empresa en
cuestin, para as estar preparados antes posibles situaciones de cambio.
Algunas organizaciones le asignan tanta importancia a la labor de seguridad que crean oficinas
encargadas del tema, en cambio otras organizaciones interpretan a la informacin solamente como
elemento informtico y que no es pertinente para su funcionamiento, estas organizaciones son las
que usualmente presentan ms problemas de informacin.
En 1970 se comenzaron a trazar las primeras polticas de seguridad,
determinando esta
responsabilidad para distintos tipos de profesionales, tales como, contadores, auditores, abogados,
directores de negocios,
ingenieros, gestores de proyectos y personal de seguridad fsica.
Actualmente existen carreras que solamente dedican su labor a garantizar la seguridad de la
General pgina 11
Esta auditoria cubrir tanto vertical como horizontalmente las actividades de seguridad de la
informacin dentro de la organizacin, recorriendo las diversas dependencias existentes en la
empresa y entrando a un nivel alto de detalle para poder identificar la mayor cantidad de falencias
posibles.
PERSONAS INVOLUCRADAS EN LA AUDITORIAS
Por principio de auditoria, el equipo auditor debe poseer suficiencia en las capacidades y
conocimientos que respectan al trabajo de seguridad de TI, a dems de ser independientes,
integrales, honestos, responsables, confiables e imparciales.
El equipo auditor esta conformado por:
Equipo 6
Christian Martnez Auditor encargado
Jorge Andrs Rodrguez Asistente
Como personal auditado se tiene a todo el departamento de TI, enfocndose a analizar el personal
encargado de la seguridad de la informacin y dems recursos informticos de la empresa.
MTRICAS DE EVALUACIN
% porcentaje de cubrimiento actual de recursos de TI con procesos de seguridad.
Grado de satisfaccin de la gerencia con la proteccin actual de los recursos de TI.
Recursos financieros y de personal requeridos en el proceso de seguridad de los recursos de
TI.
Niveles de riesgo de dao sobre los diferentes activos de TI.
Tiempos de cubrimiento de seguridad sobre los recursos de TI.
INSTRUMENTOS PARA LA REALIZACIN DE LA AUDITORIA
Como herramienta principal para la ejecucin de este proceso de auditoria se han seleccionado unos
instrumentos que se irn desarrollando segn la gua de auditoria, estos instrumentos permitirn
analizaran factores tanto cualitativos como cuantitativos de las polticas de seguridad para los
activos de TI. Es fundamental desarrollar estas actividades con colaboracin del departamento de
TI, pues esta es el rea primordial y ms relevante de la empresa en este aspecto, que nos proveer
de la informacin necesaria para realizar la auditoria.
A continuacin se realizara la descripcin de los instrumentos de la auditoria a realizar.
ENTREVISTA
Debido que el equipo auditado no es muy grande (entre 4 y 8 personas) se ha decidido elaborar un
instrumento de recopilacin de datos que sea el ms directo y conciso respecto el intercambio de
informacin entre el equipo auditado y el auditor y que adems le permita al equipo auditor estar
presente en el sitio, pues es necesario para la verificacin. Descartando entonces los instrumentos
de encuesta y cuestionario, que se dirigen hacia un mayor nmero de personas y que no poseen el
factor de comunicacin directa.
OBSERVACIN
Este instrumento de auditoria ser utilizado por el equipo auditor, pues es un excelente
complemento a la entrevista. De manera directa se acompaara al equipo se seguridad de TI,
adscrito al departamento de ti, en todo lo que respecta a establecimiento de polticas de seguridad y
desarrollo de estas dentro de la empresa. El equipo auditor deber poseer las capacidades y
conocimientos necesarios como se explico anteriormente. La observacin ser participativa,
introspectiva, histrica y controlada (realizar cambios para las pruebas).
DESARROLLO DE LOS INSTRUMENTOS DE TRABAJO
ENTREVISTA
GESTIN DE RIESGOS
1. poseen implementad dentro de la empresa un sistema para la gestin de riesgos
informticos?
2. Si se posee Cules son sus componentes fundamentales?
3. Se tienen en cuenta algunos de los principales marcos de referencia para la gestin de riesgos
tales como ISO27001, ISO2000, NIST sp800-34, as/nz 4360 u otros?
4. Si se tienen en cuenta a que nivel de detalle se implementan?
5. Se tiene en cuenta el entorno de la empresa para evaluar los riesgos de ti?
6. Identifican los activos y recursos de la empresa sobre los cuales actan los riesgos?
7. Identifican los riesgos que estn presentes sobre cada activo?
8. Le asignan un valor de probabilidad a estos riesgos identificados?
9. en el plan de riesgos se establecen tratamientos para estos?
10. los planes de tratamiento son implementados por la empresa?
General pgina 13
continuidad de servicio?
50. Se han hecho simulacros para ver el impacto y el funcionamiento de estos planes de
continuidad de servicio?
51. Quines son los encargados de manejar, monitorear e implementar estos planes de
continuidad de servicio?
52. Estn capacitadas estar personas para realizar tal labor?
53. Estas personas estn directamente relacionadas con la organizacin o son subcontratadas?
ARQUITECTURA DE SEGURIDAD
54. Se utiliza algn diagrama de seguridad en la organizacin?
55. Quines son los encargados de estos diagramas se cumplan?
Deja un comentario
Publicado por reinel1700622819 en 26 noviembre, 2014 en Auditorias Especificas
Etiquetas: cybercrimen, gestin de identidad, Seguridad fsica y lgica
Los sistemas operativos se consideran la base sobre la cual se ejecutan y administran los sistemas de
informacin en las empresas.
Normalmente todo programa o aplicativo que se requiera utilizar necesita de base un sistema
operativo que comunique sus comandos de
alto nivel con el lenguaje de mquina. Los sistemas operativos tienen diversos puntos a auditar, pues
su funcionamiento implica desde la comunicacin con el hardware hasta el manejo de usuarios y
de complejos sistemas que requieren cierto grado de seguridad y disponibilidad.
SISTEMAS OPERATIVOS WINDOWS
Historia:
Microsoft ha seguido dos rutas paralelas en sus sistemas operativos. Ha
sido una ruta para usuarios domsticos y el otro ha sido para el usuario
profesional de IT. Las dos rutas generalmente han dado lugar a
versiones caseras con mayor soporte multimedia y menos funcionalidad
en redes y seguridad y versiones profesionales con soporte multimedia
inferior y mejor de red y seguridad
La primera versin de Microsoft Windows, versin 1.0, lanzado en
noviembre de 1985, careca de un grado de funcionalidad y logr muy
poca popularidad y compiti con el sistema operativo de Apple. Windows
1.0 no es un sistema operativo completo; ms bien es una extensin
grfica de MS-DOS. Microsoft Windows versin 2.0 fue lanzado en
noviembre de 1987 y fue un poco ms popular que su predecesor.
Windows 2.03 (fecha de lanzamiento en enero de 1988) haba cambiado
el sistema operativo desde windows a superposicin de overlapping
windows. El resultado de este cambio llev a presentar una demanda
contra Microsoft basado en la infraccin de derechos de autor de Apple
General pgina 15
igual que en otros sistemas Unix, es una de las principales razones por
las que los Mac estn libres de malware.
Aplicaciones
Mac OS X v10.5 introdujo soporte seguro para aplicaciones y procesos
firmados. Las aplicaciones y procesos firmados incluyen una firma
digital, la cual es usada por el sistema para verificar la autenticidad y la
integridad del software y sus recursos. El cdigo es verificado tanto en
el disco como cuando se est ejecutando. De este modo, si alguna parte
del cdigo de la aplicacin o el proceso es inapropiadamente cambiado
cuando est activo, el sistema automticamente lo desactiva. La
autenticacin de cdigo es usado por los llaveros, la aplicacin de
firewall personal, las preferencias de Control Parental y la configuracin
del gestor de clientes para verificar las aplicaciones despus de
modificaciones.
Mac OS X distingue entre los usuarios (user), el administrador de
sistema root (admin) y el superusuario (superuser). El usuario no puede
realizar cambios en el sistema y solo puede instalar software en su
carpeta personal. Las aplicaciones que ejecuten estos usuarios lo harn
con los permisos propios de este tipo de usuario. Los usuarios
administradores tienen ms permisos, aunque no pueden realizar
modificaciones a la configuracin general del sistema, instalar software
o tener acceso a varios directorios del sistema sin autenticarse.
Mac OS X v10.5 Cuentas de usuario
Administrador: un administrador puede crear y eliminar cuentas,
instalar software, modificar los ajustes del sistema y cambiar la
configuracin de otros usuarios.
Estndar: una cuenta de usuario tpica. Un usuario estndar slo
puede instalar software para la cuenta de usuario y no puede
modificar las preferencias de sistema bloqueadas ni crear
cuentas.
Supervisada con controles parentales: una cuenta que tiene
privilegios limitados, gestionados mediante Controles parentales.
Slo compartidos: slo puede acceder a los archivos de una
ubicacin especfica. No puede modificar los archivos del
ordenador ni iniciar sesin en la ventana de inicio de sesin.
Grupo: una cuenta compuesta por los usuarios seleccionados.
No existe una cuenta root que tenga permanentemente los permisos del
superusario, despus de realizar la instalacin del sistema. Aunque hay
un usuario root que est deshabilitado por defecto. Sin embargo, se
han encontrado lagunas que permiten a un usuario administrador
ejecutar software de administracin y tener control total sobre el
sistema.
Cortafuegos
Hasta el OS X 10.4, se utiliz el Cortafuegos orientado a paquetes ipfw
para filtrar el trfico entrante. Desde el OS X 10.5 un cortafuegos para
aplicaciones establece que programas pueden recibir trfico entrante. Se
puede instalar una interfaz para ipfw mediante programas adicionales
como WaterProof o Flying Buttress.
Pruebas iniciales demostraron que el cortafuegos del OS X v10.5
permita el trfico de datos an cuando la opcin Bloquear todas las
conexiones estaba activa. En el OS X 10.5.1 estas vulnerabilidades
fueron corregidas. La leyenda en la interfaz de usuario fue cambiada a
Permitir solo los servicios requeridos.
Las conexiones salientes no pueden ser monitoreadas por los
cortafuegos incluidos en el sistema. Para este propsito se requieren
programas complementarios como Little Snitch o GlowWorm.
Malware
De los troyanos conocidos para OS X en el 2010, solo 2 fueron
General pgina 26
En la actualidad gracias a la masificacin de las computadoras y de las redes de datos como medio
para almacenar, transferir y procesar informacin, vemos con asombro que el nivel de utilizacin de
las mismas se ha incrementado desmesuradamente en los ltimos aos, al grado de convertirse en
un elemento esencial para el funcionamiento de cualquier organizacin.
Debido a esto, la informacin en todas sus formas y estados se ha convertido en un activo de
altsimo valor para cualquier tipo de negocio, por esto la empresa no puede ser indiferente y por lo
tanto, se hace necesario proteger, asegurar y administrar la informacin para garantizar su
integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la ley.
Al revisar los protocolos de seguridad, consistencia y reglas de integridad en cualquier motor de
bases de datos es necesario verificar el ambiente de control establecido en la instalacin de este; en
este contexto se deben tener presente las diferentes caractersticas que pueden establecerse en
este proceso, adems en el manejo de los motores se puede manejar un grado de Seguridad, en el
General pgina 29
este proceso, adems en el manejo de los motores se puede manejar un grado de Seguridad, en el
cual se maneja la exactitud, consistencia y confiabilidad de la informacin; con la privacidad y
confidencialidad de los datos; cada motor de Bases de Datos poseen caractersticas que pueden ser
utilizadas para garantizar la calidad de la informacin almacenada y procesada, todo con el fin de
garantizar la eficiencia y eficacia en el manejo de los datos.
Sin embargo para implementar una auditoria integral a las bases de datos, es necesario tener claro
toda la temtica referente a las bases de datos como tal, partiendo desde los conceptos bsicos,
hasta los conceptos especializados de bases de datos comenzaremos definiendo los conceptos
bsicos los cuales son: datos, base de datos, sistemas Data Warehousing, minera de datos y bases
de datos de contenido.
Datos: los datos son smbolos, nmeros y letras que por si solos no significan nada, pero que
juntos en un repositorio de datos crean una herramienta que ayuda al acceso y bsqueda de
informacin particular para una accin o evento. La informacin es una coleccin de hechos
significativos y pertinentes, para el organismo u organizacin que los percibe. Para ser
significativos, los datos deben constar de smbolos reconocibles, estar completos y expresar
una idea no ambigua.
Base de Datos: las bases de datos son aplicaciones de software que administran, ordenan,
buscan, comunica y maneja toda la informacin referente a una organizacin o negocio en
particular, nace a partir de los computadores lgicos de datos, ya que por la gran cantidad de
informacin que se manejan, podemos accederla y utilizarla en cualquier momento.
Sistemas Data Warehousing: estos sistemas de datos obtienen toda la informacin de las
operaciones de un negocio (herramienta indispensable para la toma de decisiones en especial
la de los procesos productivos), esto se logra accesando a la informacin de forma interactiva
e inmediata dentro de una rea de negocio en particular, permitiendo al usuario o a los
usuarios finales la toma desciones rpidas y veraces con base en la informacin real del mismo
negocio.
Minera de datos: se define como el proceso de extraer informacin vlida, autntica y que
se pueda procesar de las bases de datos de gran tamao., mostrando patrones de bsqueda
mas rpidos y especficos dentro delas bases de datos de orden industrial y empresarial, estos
modelos de minera s de datos permiten a los usuarios desde predecir ventas, determinar
patrones de compras entre un segmento de clientes determinados, hasta incluir secuencias de
consumo de una poblacin en particular. La minera de datos no solo formula preguntas
referentes a las bsquedas de datos, tambin ofrece nuevos modelos de metodologa de
trabajos para las bases de datos.
Bases de datos de contenido: las bases de datos de contenido son plataformas integral de base
de datos para datawarehousing e inteligencia de negocios que combina escalabilidad y
desempeo, anlisis bien integrado y calidad de datos e integridad, todo en una sola
plataforma que se ejecuta en una herramienta de bajo costo y confiable, permitiendo que
mientras un proceso se escribe en una tabla, otros accedan a la misma tabla sin necesidad de
bloqueos, estas bases de datos permiten encontrar una referencia a un dato o grupo de datos
que llevaran a una informacin mayor para el caso de las empresas de orden industrial seria el
acceso a los indicadores.
Cabe anotar que las bases de datos tienen tanto ventaja y desventajas, entre las ventajas tenemos:
Independencia de todos los datos y tratamiento.
Los cambios en los datos no implican cambios en los programas de bases de datos.
Coherencia de resultados.
Reduce redundancia.
Mejora en la disponibilidad de datos.
No hay dueo de datos.
Auditoria para los datos:
Definicin:
La informacin en todas sus formas y estados se ha convertido en un activo de altsimo valor, de tal
forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar
y administrar esta informacin o el conjunto de datos, para garantizar su integridad,
confidencialidad y disponibilidad.
En los ltimos aos se ha incrementado uso de aplicaciones electrnicas que comprenden: correo,
comercio, transacciones, firmas y certificados digitales, comunicaciones seguras, entre otras.
General pgina 30
Para el desarrollo de la auditoria a Datos se plantea utilizar como medio para la recopilacin de
informacin:
Cuestionario.
Entrevista.
Anlisis de informacin:
Formato de observacin.
Aplicar auditoria
Se realizara una Investigacin Preliminar con el fin de obtener el inventario del sistema de la base de
datos, como es su funcionamiento y bajo que documentos est regida; abordando temas especficos
sobre conocimiento del negocio y del Sistema, la informacin sobre la empresa y su objeto social,
sobre sus polticas y normas. Adems toda la informacin referente al Motor de Bases de Datos.
Luego se aplicaran las herramientas creadas, posteriormente se evaluaran con las tcnicas
planteadas para arrojar los respectivos resultados.
Auditoria para las minera de datos:
Definicin:
La minera de datos (DM, Data Mining) consiste en la extraccin no trivial de informacin que reside
de manera implcita en los datos. Dicha informacin era previamente desconocida y podr resultar
til para algn proceso. En otras palabras, la minera de datos prepara, sondea y explora los datos
para sacar la informacin oculta en ellos.
Bajo el nombre de minera de datos se engloba todo un conjunto de tcnicas encaminadas a la
extraccin de conocimiento procesable, implcito en las bases de datos. Est fuertemente ligado con
la supervisin de procesos industriales ya que resulta muy til para aprovechar los datos
almacenados en las bases de datos.
Las bases de la minera de datos se encuentran en la inteligencia artificial y en el anlisis estadstico.
Mediante los modelos extrados utilizando tcnicas de minera de datos se aborda la solucin a
problemas de prediccin, clasificacin y segmentacin.
Objetivos:
Evaluar las tcnicas empleadas en la minera de datos.
Evaluar la documentacin presentada.
Identificar el proceso de minera de datos.
Identificar la forma de seleccin del grupo de datos.
Evaluacin:
Criterios de seleccin de datos.
Anlisis aplicados a las propiedades de los datos.
Tcnicas de minera de datos empleadas.
Documentacin existen de minera de datos.
Clasificacin de los datos.
Herramientas de Auditoria:
Para el desarrollo de la auditoria a Datos se plantea utilizar como medio para la recopilacin de
informacin:
Cuestionario
Entrevista.
Anlisis de informacin:
Formato de observacin.
Aplicar auditoria
Se realizara una Investigacin Preliminar con el fin de obtener el inventario del sistema de la base de
datos, como es su funcionamiento y bajo que documentos est regida; abordando temas especficos
sobre conocimiento del negocio y del Sistema, la informacin sobre la empresa y su objeto social,
sobre sus polticas y normas. Adems toda la informacin referente al Motor de Bases de Datos.
Luego se aplicaran las herramientas creadas, posteriormente se evaluaran con las tcnicas
planteadas para arrojar los respectivos resultados.
Auditoria para oracle:
Definicin:
Oracle es un sistema de gestin de base de datos relacional (o RDBMS por el acrnimo en ingls de
Relational Data Base Management System), desarrollado por Oracle Corporation. Se considera a
Oracle como uno de los sistemas de bases de datos ms completos, destacando:
Soporte de transacciones.
Estabilidad.
General pgina 33
Estabilidad.
Escalabilidad.
Soporte multiplataforma.
Objetivos:
Evaluar el funcionamiento de la Base de Datos ORACLE.
Identificar debilidades.
Analizar funcionamiento de tablas, campos,
Evaluacin:
Consultar Ataques de Fuerza bruta o Diccionario a cuentas de usuario.
Consultar de intentos del exploit AUTH_ALTER_SESSION
Consultar de intentos de iniciar sesiones.
Consultar si la Auditoria est habilitada.
Consultar informacin de los inicios de Sesin
Consultar de tablas eliminadas
Consultar de los logs del Apache.
Herramientas de Auditoria:
Determinar si en la BD est activo el modo de operacin en ARCHIVELOG o NONARCHIVELOG.
Si este no est activo, la evidencia de ataque o cambios sern sobrescritos por un nuevo
registro.
Se puede determinar realizando una sentencia SQL a la BD: SELECT VALUE V$PARAMETER
WHERE FROM NAME=archiv_log_start;
Anlisis de los Oracle Data Blocks, para determinar:
Registros eliminados
Localizar bloques asignados a tablas (OBJETOS DE INTERS)
Seguimiento de Objetos creados y eliminados
Localizacin de tablas eliminadas
Localizacin de Funciones eliminadas.
Obtencin del SID de la BD
Aplicar auditoria
Se realizara una Investigacin Preliminar con el fin de obtener la informacin de la base de daos de
Oracle.
Luego se aplicaran las herramientas creadas, posteriormente se evaluaran con las tcnicas
planteadas para arrojar los respectivos resultados.
Auditoria para IBM:
Definicin:
DB2 (R) Universal Database, es una base de datos universal, es completamente escalable, veloz y
confiable, corre en modo nativo en casi todas las plataformas, como Windows NT (R), Sun Solaris,
HP-UX, AIX(R), OS/400 y OS/2(R).
DB2 UDB es un sistema para administracin de bases de datos relacionales (RDBMS)
multiplataforma, especialmente diseada para ambientes distribuidos, permitiendo que los usuarios
locales compartan informacin con los recursos centrales.
Objetivos:
Evaluar el funcionamiento de la Base de Datos DB2.
Identificar debilidades.
Analizar funcionamiento de tablas, campos,
Evaluacin:
EVALUACIN
Estructura de base de datos DB2.
Aadir campos a una tabla.
Herramientas de Auditoria:
Para realizar esta auditoria se realizara un examen al funcionamiento a la base de datos de la
herramienta revisando los informes, por medio de los siguientes pasos
1. Inicie la sesin como el usuario de Trust Authority (el usuario que instal Trust Authority).
2. Inicie una sesin interactiva de lnea de mandatos de DB2.
3. En la lnea de mandatos de DB2, entre el mandato siguiente para conectar con la base de
datos de auditora:
Connect to nombre_de_su_base_de_datos_de_auditora
4. Consulte la base de datos empleando una de las vistas de Trust Authority del modo siguiente:
General pgina 34
4.
5.
Consulte la base de datos empleando una de las vistas de Trust Authority del modo siguiente:
Para consultar la vista viewvar, entre este mandato:
select * from viewvar
Para consultar la vista viewvar_t, entre este mandato:
select * from viewvar_t
Para filtrar la vista de los informes de auditora, utilice la clusula where SQL. Por ejemplo,
para consultar informes para un determinado intervalo de fechas, entre el mandato siguiente:
select * from viewar where sourcetime between 1999-07-01- 8.00.00 and
1999-07-02-08.00.00
Aplicar auditoria
Se realizara una Investigacin Preliminar con el fin de obtener la informacin de la base de daos de
DB2.
Luego se aplicaran las herramientas creadas, posteriormente se evaluaran con las tcnicas
planteadas para arrojar los respectivos resultados.
Identificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusin
Elaborar borrador final de desviaciones.
Presentar el informe de auditora.
Auditoria para MySQL
Definicin:
MySQL es un sistema de gestin de base de datos relacional, multihilo y multiusuario con ms de
seis millones de instalaciones.
Lenguajes de programacin
Existen varias APIs que permiten, a aplicaciones escritas en diversos lenguajes de programacin,
acceder a las bases de datos MySQL, incluyendo C, C++, C#, Pascal, Delphi (via dbExpress), Eiffel,
Smalltalk, Java (con una implementacin nativa del driver de Java), entre otros.
Objetivos:
Evaluar el funcionamiento de la Base de Datos MySQL.
Identificar debilidades.
Analizar funcionamiento de tablas, campos,
Evaluacin:
Consultar Ataques de Fuerza bruta o Diccionario a cuentas de usuario.
Consultar de intentos del exploit AUTH_ALTER_SESSION
Consultar de intentos de iniciar sesiones.
Consultar si la Auditoria est habilitada.
Consultar informacin de los inicios de Sesin
Consultar de tablas eliminadas
Consultar de los logs del Apache.
Herramientas de Auditoria:
Para el desarrollo de la auditoria a Bases de Datos MySQL se plantea utilizar como medio para
la recopilacin de informacin, Verificacin.
Para el anlisis y la evolucin de la informacin recolectada se utilizaran Guas de evaluacin.
MySQL ofrece niveles de acceso y permisos, que incluyen las operaciones CRUD y las vistas. Es
posible combinar criterios de acceso y as restringir los permisos operativos sobre algunas
tablas en particular. Otro concepto a considerar ser usar los procedimientos almacenados y/o
disparadores en las tablas. Los disparadores por ejemplo son ideales para crear mecanismos
de auditora sobre operaciones no autorizadas en tablas especficas. El lenguaje de
programacin es importante tambin. Sin importar si se trata de lenguajes de scripting en
servidor como (PHP,RoR,Python, etc) o aplicaciones de escritorio, siempre la combinacin del
lenguaje de programacin con las consultas SQL necesarias te permitirn en momentos
determinados crear logs de auditora que hagan volcados sobre ficheros o tablas en bases de
datos acerca de las operaciones de los usuarios. Y la ultima opcin para conseguir el
monitoreo es con algunas herramientas de Software, como Monyog, que es un monitor de
estado para servidores mysql, entre otras opciones mide los riesgos e intentos de hackeo,
problemas de seguridad y privilegios excesivos, entre otros. La versin comercial de MySQL
ofrece unos completos sistemas de monitoreo de carga y acceso. Existen tambin monitores
de servicios de red, open source que pueden tener complementos para monitoreo de bases de
datos como Nagios
General pgina 35
NIVELES DE MADUREZ
0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no
ha reconocido siquiera que existe un problema a resolver.
1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren
ser resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc
que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la
administracin es desorganizado.
2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos
similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o
comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo.
Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los
errores son muy probables.
3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido
a travs de entrenamiento. Sin embargo, se deja que el individuo decida utilizar
estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en s
no son sofisticados pero formalizan las prcticas existentes.
4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar
medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo
constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas
de una manera limitada o fragmentada.
5 Optimizado. Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los
resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de
forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la
calidad y la efectividad, haciendo que la empresa se adapte de manera rpida.
NAVEGACIN POR COBIT
General pgina 36
Deja un comentario
Publicado por reinel1700622819 en 26 noviembre, 2014 en APUNTES DE CLASE, APUNTES DE
CLASE - COBIT
Etiquetas: Modelos de madurez, Navegacin por Cobit
Fcil entendimiento
Concreto
Eficiente
Integral
Continuo
Plan de Auditoria en BCP
Con el fin de llevar a cabo la auditoria especfica referente a BCP, se ejecutara el siguiente programa:
1. Investigacin Preliminar.
2. Identificacin y Agrupacin de Riesgos
3. Evaluacin de la Continuidad en la empresa objeto de la Auditora
4. Diseo de Pruebas de Auditora
5. Ejecutar Pruebas de Auditora
6. Elaboracin de Informe de Auditora
7. Seguimiento.
Data Center
Cuando se habla del CPD, Centro de Procesos de Datos o Data Center estamos refirindonos a la
ubicacin donde se concentran todos los recursos necesarios para el procesamiento de informacin
de una organizacin.
La integracin de las infraestructuras tecnolgicas en un Data Center, permite automatizar la gestin
de los recursos y convertir unas infraestructuras caticas en algo gestionable y altamente
automatizado con el consiguiente ahorro de recursos econmicos.
Plan de Auditoria en DATA CENTER
Con el fin de llevar a cabo la auditoria especfica referente a Data Center, se ejecutara el siguiente
programa:
1. Investigacin Preliminar.
2. Identificacin y Agrupacin de Riesgos
3. Evaluacin de la Seguridad en la empresa objeto de la Auditora
4. Diseo de Pruebas de Auditora
5. Ejecutar Pruebas de Auditora
6. Elaboracin de Informe de Auditora
7. Seguimiento.
SAP
Podemos decir entonces que la principal razn por la que SAP ha tenido tanto xito es porque su
solucin empresarial se trata de un paquete de software de aplicaciones estndar que puede
configurarse en mltiples reas de negocio y que se adapta a necesidades especficas de cada
empresa.
SAP ha liderado el mercado de los sistemas de informacin gerencial, especialmente el nicho de los
ERP.
Plan de Auditoria en SAP
Con el fin de llevar a cabo la auditoria especfica referente a SAP, se ejecutara el siguiente programa:
1. Investigacin Preliminar.
2. Identificacin y Agrupacin de Sistemas orientados a SAP
3. Evaluacin de la Integridad en la empresa objeto de la Auditora
4. Diseo de Pruebas de Auditora
5. Ejecutar Pruebas de Auditora
6. Elaboracin de Informe de Auditora
7. Seguimiento.
Deja un comentario
Publicado por reinel1700622819 en 20 noviembre, 2014 en Auditorias Especificas
Etiquetas: Auditorias Especificas, BCP, Data Center y SAP
Entradas recientes
AMBIENTES ESPECIALES: SISTEMAS DE RECONOCIMIENTOS BIOMTRICOS RFID
COMPUTACIN/TELEFONA MVIL COMPUTACIN UBICUA CLOUD COMPUTING
Seguridad fsica y lgica, gestin de identidad, cybercrimen
Sistemas operativos Windows/Windows server, Solaris, Unix, Linux, Mac Os X
Auditoria a Datos, Bases de datos, datawarehouse, minera de datos, bases de datos de
contenido Oracle, SQL, Microsoft SQL, Mysql
Clase 17 -Modelos de madurez y Navegacin por Cobit
Archivos
noviembre 2014
octubre 2014
septiembre 2014
Calendario
L
nov
1
2
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
febrero 2015
Estadsticas del blog
179 visitas
Comentarios recientes
Etiquetas
Administrar la inversin en TI ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA Auditorias Cruzadas Auditorias
Especificas BCP
General pgina 40