Blog Auditoria - Reinel Tabares Soto

BLOG AUDITORIA - Reinel Tabares Soto
jueves, 19 de febrero de 2015

12:00 p.m.
BLOG AUDITORIA Reinel Tabares Soto

Inicio
Acerca de
RSS
AMBIENTES ESPECIALES: SISTEMAS DE RECONOCIMIENTOS

BIOMTRICOS RFID COMPUTACIN/TELEFONA MVIL
COMPUTACIN UBICUA CLOUD COMPUTING
26 nov
SISTEMAS DE RECONOCIMIENTO BIOMTRICOS
La Biometra es el estudio de mtodos automticos para el reconocimiento de seres humanos

basados en uno o ms rasgos conductuales o fsicos intrnsecos, permitiendo identificar individuos
dentro de una poblacin registrada o verificar la identidad de un individuo concreto.
La biometra informtica es la aplicacin de tcnicas matemticas y estadsticas sobre los rasgos
fsicos o de conducta de un individuo, para verificar identidades o para identificar individuos.
En las tecnologas de la informacin (TI), la autentificacin biomtrica se refiere a las tecnologas
para medir y analizar las caractersticas fsicas y del comportamiento humanas.
La biometra trabaja con rasgos fsicos nico, como las huellas dactilares, que pueden utilizarse para
reconocimiento automtico. La biometra es la cimentacin de los servicios de identificacin porque
es fiable, conveniente y virtualmente imposible de falsificar
Existen varios tipos de caractersticas que se pueden identificar con los sistemas de reconocimiento
biomtrico:
Caractersticas fsicas (estticas): estas son caractersticas anatmicas del cuerpo, que bien
cambian muy poco o nada en absoluto en el curso de la vida, las huellas dactilares, las retinas,
el iris, los patrones faciales, de venas de la mano o la geometra de la palma de la mano
Caractersticas del comportamiento (dinmicas): son tpicas del comportamiento del hombre,
se incluye la firma o la escritura a mano, el paso y el tecleo. La voz se considera una mezcla de
caractersticas fsicas y del comportamiento, pero todos los rasgos biomtricos comparten
aspectos fsicos y del comportamiento.
Una vez tomados los datos biomtricos se siguen los pasos mencionados a continuacin:
1. Identificacin: Establecimiento de la identidad. Para efectos de identificacin, el elemento
biomtrico se compara con todos los datos de referencia almacenados en el sistema. Si las
caractersticas coinciden, el proceso de identificacin fue exitoso y el nombre correspondiente
(por ejemplo, ID de usuario) que pertenecen a esta caracterstica de referencia, se pueden
procesar.
General pgina 1
procesar.
2. Verificacin: confirmacin de la identidad. Para fines de verificacin, el usuario manifiesta su
identidad con el sistema biomtrico de antemano (por ejemplo, su ID de usuario se introduce
a travs de un teclado o un chip de la tarjeta). Luego, el sistema slo tiene que comparar el
elemento biomtrico con una caracterstica de referencia que coincide con el ID de usuario.
3. Autenticacin: certificado de autenticidad (documento de identidad, por ejemplo, mediante la
identificacin o verificacin).
4. Autorizacin: Despus de una autenticacin exitosa (identificacin o verificacin), utilizando
un sistema biomtrico, a una persona se da el permiso para llevar a cabo determinadas
acciones o de utilizar ciertos servicios.
Los sistemas de reconocimiento biomtrico procesan los datos biomtricos de una persona con el
objetivo de confirmar o rechazar la identidad de esta mediante el uso de datos de referencia
previamente seleccionados.
En general, todos los sistemas biomtricos contienen los siguientes componentes: entrada de datos,
pre-tratamiento, extraccin de caractersticas, clasificacin y clculo de datos de referencia.
Hoy da, la demanda de procedimientos confiables de identificacin es cada vez mayor. En la
actualidad, se encuentra por ejemplo, con la identificacin personal en el comercio electrnico,
servicios de control de acceso, en la lucha contra el terrorismo, etc.
Son cada vez ms complejas las tecnologas para la identificacin personal. Mediante el uso de
procesos de identificacin, por ejemplo, es posible regular el acceso a determinados objetos
mediante la concesin de ciertos derechos.
Con el avance de la tecnologa, la cuestin de la seguridad se ha vuelto ms importante. Para los
controles de acceso, el anlisis biomtrico de las huellas dactilares ha venido desempeando un
papel cada vez ms significativo.
AUDITORIA
rea a auditar: Manejo de sistemas de reconocimiento biomtrico.
La recopilacin de informacin de la auditora a realizar se utilizar el siguiente instrumento:
ENTREVISTA
1. Se capacit al personal de la empresa que debe utilizar esta tecnologa, en cuanto al manejo
y precauciones a tener en cuenta?
2. Existen en la empresa medidas para la prevencin y manejo de riesgos en el uso de de
sistemas de reconocimiento biomtrico?
3. Para la implantacin de la tecnologa, Se tuvo en cuenta los diferentes tipos de caractersticas
con los cuales se pueden identificar los seres humanos?
4. Existe el soporte acerca de esta tecnologa que garantice la ptima la operacin de esta
tecnologa?
5. Se tienen planes de contingencia en caso del fallo del sistema de reconocimiento biomtrico
o algn dispositivo de la tecnologa?
6. Existen polticas formalmente definidas y publicadas sobre el manejo de los sistemas de
reconocimiento biomtrico?
RFID (SISTEMAS DE IDENTIFICACION POR RADIOFRECUENCIA)
Sistema de almacenamiento y recuperacin de datos remotos que usa dispositivos denominados
etiquetas o tags RFID. El propsito fundamental de esta tecnologa, es transmitir la identidad de un
objeto (similar a un nmero de serie nico) mediante ondas de radio.
Las tecnologas RFID se agrupan dentro de las denominadas Auto ID (identificacin automtica). Las
etiquetas RFID son unos dispositivos pequeos, similares a una pegatina, que pueden ser adheridas
o incorporadas a un producto, animal o persona.
Los sistemas de transferencia de datos sin contacto (contactless) son llamados RFID (Radio
Frequency Identification). Esta tecnologa tiene muchsimas y avanzadas ventajas, tales como: alta
capacidad de informacin, la informacin de los tags se puede leer y re escribir, no se requiere
contacto ni vista directa entre los tags y el lector.
Los sistemas RFID estn formados siempre por dos elementos:
El transponder (chip con antena), que est colocado en el objeto que hay que identificar
El lector (RFID reader), que, dependiendo de la tecnologa utilizada y de la aplicacin, puede
ser un dispositivo slo de lectura o de lectura/escritura.
Los sistemas de RFID constituyen una va importante de desarrollo en el marco de la computacin
ubicua o penetrante. RFID es un mtodo de identificacin automtico y ha sido cada vez ms la
atencin pblica actual. Si bien RFID en trminos sencillos, propone el significado de identificacin
General pgina 2
atencin pblica actual. Si bien RFID en trminos sencillos, propone el significado de identificacin
sin contacto. Adems se usarse para distintos mtodos de identificacin personal, son un nuevo
mtodo de identificacin de productos, que est compuesto por un lector, una antena y una
etiqueta de radiofrecuencia. Este sistema es muy utilizado por los agentes de la cadena de
suministros para reducir costes de identificacin de existencias. Este sistema est llamado a ser el
sustituto del cdigo de barras. Sin embargo la privacidad de estos sistemas est en entredicho ya
que esta tecnologa no se desactiva una vez adquirido el producto por el cliente y permite que el
control del producto contine aunque haya concluido la cadena de fabricacin y distribucin. Otro y
no menos importante problema que presenta est tecnologa es la aparicin de nuevos ataques en
forma de virus especializados para este software.
Las etiquetas reaccionan al ser expuestas a una seal de radiofrecuencia y devuelven un pequeo
cdigo numrico. Un atacante malintencionado puede modificar este cdigo y producir fallos en el
sistema que podran llegar incluso a la inutilizacin completa del mismo. En realidad el fallo en la
tecnologa se produce en el lector del cdigo que puede malinterpretar los datos captados en la
etiqueta.
AUDITORIA
rea a auditar: Manejo de sistemas RFID
Para la recopilacin de informacin de la auditora a realizar se utilizarn los siguientes
instrumentos:
ENTREVISTA
1. En qu reas de la empresa se utiliza la identificacin del personal con esta tecnologa?
2. Se capacita al personal de la compaa sobre los riesgos del uso de estos sistemas y que se
hace para mitigar estos riesgos?
3. Existen polticas definidas en la empresa, para el manejo de la tecnologa y est claramente
conocida y comprendida por el personal que la utiliza?
4. Se tienen evaluados los diferentes tipos de ataques que pueden recibir los dispositivos RFID
de la compaa? Mencione dichos ataques.
5. Existen medidas preventivas frente a posibles ataques efectuados a los sistemas RFID?
CUESTIONARIO
1. Al momento de la implantacin del sistema RFID, se tuvo en cuenta los procesos de las dems
reas de la empresa que se ven afectadas por dicho sistema?
SI ____ NO____ N/A____
2. La implantacin de la tecnologa fue sistemtica, permitiendo la participacin de todas las
reas de la compaa para los procesos de pruebas y evaluacin?
SI ____ NO____ N/A____
3. Existe documentacin relacionada con la planeacin del proyecto de implantacin del
sistema RFID en la compaa?
SI ____ NO____ N/A____
4. Se realizaron las pruebas necesarias para garantizar la seguridad de los sistemas RFID, al
momento de su implantacin en la compaa?
SI ____ NO____ N/A____
5. Se tienen planes de contingencia en caso del fallo del sistema RFID o algn dispositivo de la
tecnologa?
SI ____ NO____ N/A____
COMPUTACIN/TELEFONA MVIL
Se puede definir la Computacin Mvil como la serie de artefactos y equipos porttiles, hardware,
que hacen uso de la computacin para lograr su funcionamiento, se tiene a las computadoras
porttiles, los telfonos celulares, los cuadernos de notas computarizados, las calculadoras de
bolsillo, etc.
La conectividad mvil est comenzando a ganarse un puesto importante en las estrategias de TI de
las empresas. Son muchas las funciones que ofrece esta tecnologa, funciones que en resumen lo
que hacen es reducir costos y aumentar los ingresos de la empresa, y dando un valor agregado a la
empresa, una gran ventaja competitiva.
Algunos de los adelantos y facilidades que nos ofrece esta poderosa tecnologa: Ventas,
automatizacin y gestin de relaciones con los clientes. Seguridad pblica y emergencias. ViajesMapas. Tiempo muerto: La productividad de los datos de la conectividad mvil mejora la
productividad durante los tiempos muertos. Este tiempo es precioso y puede ser utilizado para
comprobar el correo electrnico, responder a solicitudes urgentes o fijar reuniones.
General pgina 3
comprobar el correo electrnico, responder a solicitudes urgentes o fijar reuniones.

Entre los principios del gobierno de TI estn incluidos los riesgos de la implementacin de mviles.
La alta gerencia tiene que garantizar que la implementacin sea exitosa, se deben seguir los pasos
de cualquier proyecto que se va a desarrollar en una empresa, un anlisis costo beneficio, evaluacin
de riesgos.
La poltica debe abordar puntos de vista como movilidad, uso permitido, origen, normas para el uso
de los dispositivos, niveles de servicio, seguridad y gobernabilidad. Igualmente, se deben
implementar polticas para los equipos de cmputo, ya que estos corren riesgos como virus o
personas ajenas a la empresa como hackers que pueden tomar el control del PC y por lo tanto de la
informacin que este almacena.
Como puede verse, la computacin mvil representa el sueo final de la informtica, el llevar toda la
informacin necesaria a todos los usuarios que lo requieran, en el lugar y el momento requerido,
pero para ello es necesario resolver los problemas que trae consigo la solucin, lo cual ya se ha
logrado en gran parte, como lo comprueba la existencia de sistemas que trabajan adecuadamente
bajo este concepto.
Adems, es necesario que el usuario sepa con precisin qu es lo que espera de esta tecnologa
dado que no existe la solucin total y deber bosquejar y definir su problemtica con exactitud
para disear el sistema que le d respuesta, es decir, se requiere una vinculacin estrecha entre el
usuario y el proveedor del servicio para no incurrir en errores que, como puede intuirse, son muy
costosos.
AUDITORIA
rea a auditar: Implementacin de Computacin/Telefona mvil.
ENTREVISTA
1. Qu dispositivos de tecnologa de computacin mvil se manejan en la empresa?
2. Es eficiente el sistema de computacin/telefona mvil?
3. Qu reas de la empresa tienen acceso a estos dispositivos?
4. Este sistema cumple con las polticas de seguridad de la empresa?
5. Se tienen planes de contingencia en caso del fallo del sistema de computacin mvil?
6. Existen en la empresa medidas para la prevencin y manejo de riesgos en el uso de esta
tecnologa?
COMPUTACIN UBICUA
La computacin ubicua es la tercera generacin de los sistemas informticos. Con esta el usuario
tiene a su disposicin infinidad de dispositivos de computo que trabajan por si solos.
El trmino computacin ubicua fue acuado desde el Centro de Investigacin de Xerox en Palo
Alto en 1991 por Mark Weiser, quien habl de que la relacin entre el usuario y el computador no
era la adecuada. Un computador es un dispositivo demasiado complejo y su manejo necesita de la
atencin completa del usuario. Por tanto, parece lgico defender la desaparicin de las
computadoras, esto se refiere a lograr que los dispositivos sean invisibles al usuario, que se
encuentren ocultos, pero prestando los mismos servicios.
Existen 2 trminos directamente relacionados con la computacin ubicua. Los sistemas distribuidos y
la computacin mvil.
Los sistemas distribuidos son los que involucran 2 o ms ordenadores conectados en red. La
computacin ubicua toma de este campo las siguientes ideas:
Comunicacin remota
Tolerancia a fallos
Falta accesibilidad
Acceso a informacin remota
Seguridad
La computacin mvil surge por la necesidad de integrar ordenadores, clientes y mviles. Los
conceptos asociados a este paradigma, actualmente un campo muy activo en investigacin y
desarrollo, son:
Sistemas de redes mviles
Acceso de informacin mvil
Soporte para aplicaciones adaptativas
Tcnicas de ahorro de energa
Sensibilidad respecto de la localizacin
Como una extensin de estos 2 sistemas surge la computacin ubicua. La computacin ubicua
General pgina 4
Como una extensin de estos 2 sistemas surge la computacin ubicua. La computacin ubicua
incorpora 4 conceptos muy importantes, el uso eficaz de espacios, invisibilidad, escalabilidad local y
ocultacin de los desniveles de acondicionamiento. La implementacin de la computacin ubicua
debe cumplir con ciertos requerimientos de hardware de los dispositivos:
1. Miniaturizacin: Microprocesadores ms pequeos. La situacin actual de esta tecnologa
cubre las necesidades de la computacin ubicua.
2. Baja potencia: Procesadores de baja potencia. Es necesario desarrollar microprocesadores que
funcionen en un gran rango de voltajes y que estn provistos de mecanismos automticos
para el ahorro de energa.
3. Conexin sin hilos: La interconexin de todos los elementos que constituyen un entorno
perspicaz y la incorporacin del paradigma de la computacin mvil tienen como consecuencia
la necesidad de establecer comunicaciones sin hilos
El concepto de computacin ubicua es sencillo, contrario a su implementacin, extremadamente
compleja. El listado de los campos abiertos en investigacin y desarrollo, cada uno en un momento
distinto de madurez, justifica la atencin que ha recibido esta nueva rea tecnolgica, por parte de
los programas de investigacin de los pases del primer mundo. Se requiere el esfuerzo conjunto y
colaborativo de investigadores y empresas, a lo largo de esta dcada, para poder desarrollar el
inmenso potencial de esta tecnologa.
AUDITORIA
rea a auditar: Implementacin de Computacin Ubicua.
Para la recopilacin de informacin de la auditora a realizar se utilizarn los siguientes
instrumentos:
ENTREVISTA
1. Qu dispositivos con computacin ubicua maneja en la empresa?
2. Es eficiente el sistema de computacin ubicua?
3. Al implementar un sistema como este, que plan de capacitacin es llevado a cabo?
4. Para qu reas de la empresa seria propia esta tecnologa?
5. Qu personal tiene acceso a estos dispositivos y para que funciones los utilizan?
6. Existe un plan de contingencia se tiene si en algn momento el sistema falla?
CUESTIONARIO
1. Considera necesarios estos dispositivos para los requerimientos tecnolgicos de la empresa?
SI ____ NO____ N/A____
2. Existe el soporte necesario que garantice la ptima la operacin de esta tecnologa?
SI ____ NO____ N/A____
3. Se capacit al personal de la empresa que debe utilizar esta tecnologa?
SI ____ NO____ N/A____
4. Existen en la empresa medidas para la prevencin y manejo de riesgos en el uso de esta
tecnologa?
SI ____ NO____ N/A____
CLOUD COMPUTING
Cloud computing que puede definirse como un modelo inspirado en la idea de disponer de
infraestructuras tecnolgicas de modo que los recursos informticos sean compartidos
dinmicamente, se encuentren virtualizados y resulten accesibles como un servicio. An de esta
manera gran parte de las nuevas tendencias de software como servicio, virtualizacin de recursos,
redes e informtica bajo demanda. En el modelo cloud computing, los grandes clusters de sistemas
se enlazan entre s para proporcionar servicios tecnolgicos como si se tratase de un nico
superordenador global, lo que abre una nueva alternativa a la forma de funcionamiento de las
empresas, que al no depender de sistemas operativos especficos, ampla las opciones al momento
de tomar decisiones relacionadas con tecnologas de informacin (TI).
Permite tambin dar movilidad a los empleados al tener acceso en cualquier sitio con conexin a
internet y concentrar los recursos de la organizacin en sus factores crticos de xito, evitando
preocupaciones por el mantenimiento de sus sistemas de informacin (tanto hardware como
software), al trasladar esta responsabilidad a proveedores externos de estas soluciones informticas.
Dentro de los conceptos a favor que tiene el cloud computing estn:
Computacin a bajo costo
Mejor rendimiento computacional
Reduccin de inversin en software y hardware
Capacidad de almacenamiento ilimitada
General pgina 5
Capacidad de almacenamiento ilimitada

Actualizaciones automticas
Facilidad de uso
Acceso universal a los archivos (Centrado en el usuario o en el documento)
Independencia de software y maquinas
Escalabilidad
Dentro de los conceptos en contra estn:
Dependencia total del acceso a internet
Normatividad
Acuerdos de servicio
Seguridad de los datos
Se pierde control sobre los archivos
Integracin entre oferentes
Como componentes de la computacin en nube se manejan
Aplicaciones
Plataforma
Infraestructura
Tipos de nubes
Las nubes pblicas se manejan por terceras partes, y los trabajos de muchos clientes
diferentes pueden estar mezclados en los servidores, los sistemas de almacenamiento y otras
infraestructuras de la nube. Los usuarios finales no conocen qu trabajos de otros clientes
pueden estar corriendo en el mismo servidor, red, discos como los suyos propios.
Las nubes privadas son una buena opcin para las compaas que necesitan alta proteccin de
datos y ediciones a nivel de servicio. Las nubes privadas estn en una infraestructura endemanda manejada por un solo cliente que controla qu aplicaciones debe correr y dnde.
Son propietarios del servidor, red, y disco y pueden decidir qu usuarios estn autorizados a
utilizar la infraestructura.
Las nubes hbridas combinan los modelos de nubes pblicas y privadas. Usted es propietario
de unas partes y comparte otras, aunque de una manera controlada. Las nubes hbridas
ofrecen la promesa del escalado aprovisionada externamente, en-demanda, pero aaden la
complejidad de determinar cmo distribuir las aplicaciones a travs de estos ambientes
diferentes. Las empresas pueden sentir cierta atraccin por la promesa de una nube hbrida,
pero esta opcin, al menos inicialmente, estar probablemente reservada a aplicaciones
simples sin condicionantes, que no requieran de ninguna sincronizacin o necesiten bases de
datos complejas.
AUDITORIA
rea a auditar: Implementacin de Computacin en la nube.
ENTREVISTA
1. Ha realizado usted una evaluacin bsica de los riesgos sobre los recursos de su empresa
como los datos y procesos vitales?
2. Ha determinado cuales son los procesos que desea trasladar a la computacin en nube?
3. Ha establecido un plan para determinar cuales son los recursos necesarios para realizar la
migracin hacia la computacin en nube?
4. Existe una persona encargada de realizar la implementacin?
5. Se han realizado capacitaciones al personal de la empresa acerca del nuevo sistema?
6. Existe un plan de contingencia en caso de que se presenten fallos permanentes en el
sistema?
7. Existe un plan de mejora continua para la implementacin del sistema?
E- COMMERCE
Hoy en da el E-Commerce se parte de una definicin genrica como cualquier forma de transaccin
o intercambio de informacin comercial basada en la transmisin de datos sobre redes de
comunicacin como Internet.
Es decir, se incluye tanto lo que son las compraventas en s mismas como todas aquellas actividades
previas a las mismas tales como el marketing, bsqueda de informacin, contratacin previa etc. De
hecho y hoy por hoy el mayor uso que se hace de Internet es publicitario, las empresas utilizan la
Red principalmente para darse a conocer, y para ofrecer sus productos y servicios y atraer a nuevos
clientes.
General pgina 6
clientes.
Las empresas atradas por la idea de que lo que se publica en la red va a poder ser captado desde
cualquier parte del mundo han hecho que poco a poco el uso de la red se est extendiendo ms all
de lo meramente publicitario.
Si nos limitsemos a entender el E-Commerce como una compra en s, la idea de mundializacin
quedara un tanto restringida en la medida que y tal como hemos apuntado anteriormente la
mayora de las empresas utiliza Internet con fines meramente publicitarios.
Es importante distinguir los tipos de E-Commerce que son: El E-Commerce directo se da cuando
todas sus fases se realizan por medios electrnicos, mientras que en el E-Commerce indirecto o
incompleto no todas sus fases se completan por medios electrnicos.
Lo que est claro es que la entrega de forma electrnica slo va a ser posible cuando el bien a
entregar o el servicio a prestar sea digital, de lo contrario acudiremos a los medios tradicionales de
entregas de bienes o prestacin de servicios. El principal problema u obstculo que hace que no
podamos hablar de E-Commerce directo, obviamente a parte de la entrega, es el tema del pago.
ste constituye el mayor eslabn tanto tcnico como psicolgico que debe ser superado para que se
produzca el despegue definitivo del E-Commerce. Si no hay confianza por parte de los usuarios, si no
hay conocimiento de las diversas formas de pagos existentes en la red y de su seguridad tcnica no
podremos hablar de un E-Commerce propiamente dicho en el que todos sus transacciones se
materialicen a travs de medios electrnicos.
Factores claves del xito en el comercio electrnico
Varios factores han tenido un importante papel en el xito de las empresas de comercio electrnico.
Entre ellos se encuentran:
1. Proporcionar valor al cliente. Los vendedores pueden conseguirlo ofreciendo un producto o
una lnea de producto que atraiga clientes potenciales a un precio competitivo al igual que
suceden en un entorno no electrnico.
2. Proporcionar servicio y ejecucin. Ofrecimiento de una experiencia de compra amigable,
interactiva tal como se podra alcanzar en una situacin cara a cara.
3. Proporcionar una pgina web atractiva. El uso de colores, grficos, animacin, fotografas y
distintas tipografas puede aumentar el xito en este sentido.
4. Proporcionar un incentivo para los consumidores para comprar y retornar. Las promociones
de ventas pueden incluir cupones, ofertas especiales y descuentos. Las webs unidas por links y
los programas de publicidad pueden ayudar en este aspecto.
5. Proporcionar atencin personal. Webs personalizadas, sugerencias de compra y ofertas
especiales personalizadas pueden allanar el camino de sustituir el contacto personal que se
puede encontrar en un punto de venta tradicional.
6. Proporcionar un sentido de comunidad. Las reas de chat, foros, registracin de clientes,
esquemas de fidelizacin y programas de afinidad pueden ayudar.
7. Proporcionar confianza y seguridad. Servidores paralelos, redundancia de hardware,
tecnologa de seguridad ante fallas, encriptacin de la informacin y firewalls lograrn que su
e-commerce funcione en todo momento, logrando crear una imgen de solidez en sus
clientes.
8. Poseer la experiencia total del consumidor. Esto se consigue tratando al consumidor como
parte de una gran experiencia, con lo cual se mejora la percepcin de su marca respecto de
sus competidores.
AUDITORIA
rea a auditar: Implementacin de E-commerce.
CUESTIONARIO
1. Se realizan transacciones de E-commerce en la organizacin?
SI ____ NO____ N/A____
2. Se tienen en cuenta los procesos de las dems reas de la empresa que se ven afectadas por
E-commerce?
SI ____ NO____ N/A____
3. Existe documentacin relacionada con la planeacin de proyectos de E-commerce en la
compaa?
SI ____ NO____ N/A____
4. Se realizaron las pruebas necesarias para garantizar la seguridad en las transacciones de Ecommerce en la empresa?
General pgina 7
commerce en la empresa?
SI ____ NO____ N/A____
5. Se tienen planes de contingencia en caso del fallo de dichas transacciones?
SI ____ NO____ N/A____
ELECTRONIC BUSINESS O E-BUSINESS
E-business es la mejora en el funcionamiento de un negocio por medio de la conectividad, la
conexin de la cadena de valor entre negocios, proveedores, aliados y sus clientes con el fin de
lograr mejores relaciones con los clientes, reducir costos al integrar procesos de negocio, adems de
penetrar nichos o segmentos de mercado rentables.
Esta conectividad es manejada por internet y otras tecnologas emergentes que estn redefiniendo
los patrones de compra y venta y en general, los comportamientos de los consumidores e
inversionistas en el mundo. Alrededor de este tema se han desarrollado muchos otros conceptos
relacionados pero no similares entre s. Cuando hablamos de e-commerce hacemos referencia a la
compra y venta de productos y servicios en la red. En otras palabras, este concepto hace parte del
concepto global de e-business.
El e-business no es un negocio de tecnologa de las empresas, es el reto de un nuevo modelo de
negocio y el cambio estratgico de las empresas, de las industrias, de los mercados y en general de
la economa.
Es importante entender que cuando se habla de e-business, se hace referencia al modelo de
economa digital donde se integran transacciones business to business, business to consumer,
business to goverment, business to employee, entre otros conceptos, lo que permite construir un
modelo competitivo de cara al cliente, a los accionistas, a la empresa y socios de negocios mediante
un enfoque visionario que soporte los objetivos estratgicos de negocio en la organizacin.
E-business emplea como medio habilitador diferentes tecnologas (internet, customer relationship
systems, call/web center, data markets, optical cards, WAP technologies, etc.) para facilitar la
conectividad y la relacin entre una empresa y el mundo exterior.
AUDITORIA
rea a auditar: Implementacin de E-bussiness.
ENTREVISTA:
1. Se han determinado cuales son los procesos que se desean realizar a travs de E-bussiness?
2. Cules son los recursos para llevar a cabo procesos de E-bussines?
3. Se han realizado evaluaciones acerca de los riesgos que pueden existir al implantar Ebussiness?
4. Existen planes de contingencia en caso de que se presenten fallos permanentes en el
sistema?
5. Se han realizado capacitaciones al personal de la empresa acerca del manejo de E-bussiness?
E-GOVERNMENT
El e-government, e-gobierno o gobierno electrnico consiste en el uso de las tecnologas de la
informacin y el conocimiento en los procesos internos de gobierno y en la entrega de los productos
y servicios del Estado tanto a los ciudadanos como a la industria. Muchas de las tecnologas
involucradas y sus implementaciones son las mismas o similares a aqullas correspondientes al
sector privado del comercio electrnico (o e-business), mientras que otras son especficas o nicas
en relacin a las necesidades del gobierno.
Se basa principalmente en la implantacin de herramientas como portales, ERPs, que en caso de los
gobiernos se conocen como GRPs, CRMs, como redes sociales o comunidades virtuales y muchas
otras, buscando una mejora en la eficiencia y eficacia de los procesos internos y de vinculacin con la
sociedad.
Los elementos bsicos que configuran una solucin eGovernment son: el modelo bsico de
tramitacin(MBT), el sistema de informacin soporte a dichos procesos de eGovernment integrado
a su vez por diversos mdulos, as como la metodologa de implantacin de procedimientos.
EL MODELO BSICO DE TRAMITACIN
La primera gran tarea a abordar a la hora de implantar un escenario de eGovernment es definir el
modelo bsico de tramitacin de la Administracin interesada. El MBT es un esquema bsico de
referencia para la definicin, tramitacin y explotacin de informacin de todos los procedimientos
gestionados en las diferentes unidades organizativas de la Administracin.
General pgina 8
gestionados en las diferentes unidades organizativas de la Administracin.

Establece una serie de datos, fases/trmites y tareas que son comunes para el conjunto de
procedimientos administrativos. Sobre esta base de mnimos de referencia comunes, es posible
incorporar informacin adicional especfica de cada procedimiento.
El resultado es que el conjunto de procedimientos administrativos presentan una estructuracin
homognea de datos y que procedimientos similares comparten un mismo esquema y fases de
tramitacin, identificando sus flujos y los rganos que intervienen (rgano gestor, rgano de control
econmico, rgano de resolucin, etc.).
AUDITORIA
rea a auditar: Implementacin de E-government.
ENTREVISTA
1. Se han determinado cuales son los procesos internos de e-government, que consisten
con en el uso de las tecnologas de la informacin y el conocimiento para la entrega de los
productos y servicios?
2. Existe una persona encargada de manejar los procesos internos de e-government?
3. Se han establecido los riesgos que pueden existir al implantar E-government?
4. Existe un plan de contingencia en caso de que se presenten fallos en el sistema?
5. Existe un plan de mejora continua para la implementacin del sistema?
E-TELECOM, SERVICIOS DE COMUNICACIONES
El objetivo de ETELECOM en la actividad de integracin de sistemas; usuarios de redes de
comunicaciones empresariales, tengan una infraestructura de comunicaciones eficaz, fiable,
gestionable y elstica, que les permita cubrir sus necesidades actuales y futuras, partiendo de unas
relaciones de confianza para ser considerados como los socios tecnolgicos.
E-Telecom, brinda servicios de comunicaciones como:
Telefona
Conexin de Redes
Cmaras de vigilancia-seguridad
Productos de telefona
Telecom es la abreviatura habitual utilizada para referirse al mbito de las Telecomunicaciones, por
lo que muchas empresas del ramo lo llevan en su nombre:
En frica:
Maroc Telecom, operadora marroqu
Orascom Telecom es una empresa egipcia de telecomunicaciones, parte del grupo Orascom.
Telkom (South frica), proveedora sudafricana de telefona.
En Amrica:
Aliant Telecom, operadora canadiense de telecomunicaciones.
Brasil Telecom, operadora brasilea.
Telefnica Telecom es la operadora de telecomunicaciones ms grande de Colombia.
Telecom Argentina es, desde 1990, la proveedora del sistema de telecomunicaciones de la
regin Norte de este pas.
Rogers Telecom: es, una empresa canadiense de sistemas de telecomunicaciones.
Telecomm-Telgrafos operadora estatal mexicana de sistemas de telecomunicaciones.
Telecom Venezuela, operadora venezolana. Fundado en 1962 y lo nacionalizado en el 2001 y
hoy es competidor de CANTV
En Asia:
China Telecom es el operador tradicional de telefona de China.
Pakistn Telecom, operadora paquistan.
SK Telecom es una compaa de Corea del Sur, especializada en la fabricacin de telfonos
mviles.
Telkom Indonesia, operadora indonesia.
Telekom Malaysia, operadora malaya.
En Europa
British Telecom operadora britnica de telecomunicaciones desde el nivel domstico hasta el
empresarial.
esk Telecom es la principal empresa de telecomunicaciones de la Repblica Checa.
Deutsche Telekom, operadora alemana.
General pgina 9
Deutsche Telekom, operadora alemana.

France Tlcom, es el principal operador de telecomunicaciones en Francia.
Portugal Telecom es una empresa de telecomunicaciones y multimedia de Portugal.
Telecom Finland operadora finlandesa antes conocida como Sonera, actualmente parte del
grupo empresarial TeliaSonera.
Telecom Italia Mobile es un operador de telefona mvil multinacional que no slo opera en
Europa sino que tiene franquicias en Turqua, Brasil, Bolivia y otros pases del mundo.
Telekom Srbija, operadora serbia de telefona
Telekom Srpske, compaa de telecomunicaciones en Bosnia-Herzegovina
Correos Telecom, operador de telecomunicaciones para empresas de la Sociedad Estatal
Correos y Telgrafos de Espaa
En Oceana:
Hutchison Telecoms, operadora australiana.
Telecom Australia, operadora australiana.
Telecom New Zealand compaa neozelandesa de servicios telefnicos y de comunicaciones.
AUDITORIA
rea a auditar: Implementacin de E-Telecom.
CUESTIONARIO
1. Se utilizan los servicios ofrecidos por E.Telecom?
SI ____ NO____ N/A____
2. Existen polticas documentadas sobre la utilizacin de servicios de E.Telecom?
SI ____ NO____ N/A____
3. Se realizaron pruebas para garantizar la seguridad en las transacciones de E-commerce en la
empresa?
SI ____ NO____ N/A____
4. Se realizaron pruebas necesarias para garantizar la calidad del servicio de E-Telecom?
SI ____ NO____ N/A____
5. Se tienen planes de contingencia en caso del fallo del servicio de E-Telecom?
SI ____ NO____ N/A____
E-FINANCE
El termino finanzas en lnea es el acto de proveer servicios y mercados financieros usando
comunicacin electrnica. Los desarrollos de las finanzas en lnea se pueden dividir en dos reas
bastante amplias. Primero, est el impacto que ha tenido las finanzas en el Internet en la banca y los
servicios financieros, pues muchas compaas financieras dicen que este nuevo sistema de
informacin ha alterado fundamentalmente todo los aspectos de la industria bancaria. Si las
empresas financieras deciden innovar y desarrollar las finanzas en lnea, podrn utilizarlo esto como
una ventaja competitiva sobre sus competidores directos, ya que ofrecern a sus usuarios un
producto nuevo en el mercado. Al mismo tiempo, los clientes estarn a gusto con las compaas,
puesto que les ofrecern un mejor servicio y seguirn haciendo sus transacciones financieras por
medio de ellos. Segundo, es la transformacin de los mercados financieros. Con este sistema, los
bonos, las acciones y los tipos de cambio internacionales son prcticamente globales, debido a la
facilidad de realizar transacciones rpidas y seguras por medio de la Web.
En los aos ochenta, el uso del anlisis de datos electrnicamente cambia por ejemplo la manera de
hacer decisiones a la hora de otorgar crditos en los bancos. Este tipo de innovaciones han reducido
en promedio el costo de hacer prstamos y promueven la liquidez y mercadeo de los prstamos en
si. Existe mayor inters de ambas partes tanto clientes como de las empresas financieras tales como
bancos en realizar ms y ms prstamos, ya que ambas partes se beneficiarn de dicha
transacciones financieras en el futuro.
Ventajas y Desventajas de las Finanzas en Lnea (Importancia de e-Finance)
Dentro de las ventajas que un sistema de informacin de finanzas en lnea puede agregar tanto a las
empresas financieras que lo crean como a los usuarios (personas y empresas) que los utilizan, se
encuentran:
1. La informacin almacenada en el sistema permite que las empresas financieras conozcan
mejor a sus clientes.
2. La informacin est disponible las 24 horas del da y no solamente durante horas hbiles de
oficina.
General pgina 10
oficina.
3. Los usuarios pueden acceder el sistema de finanzas en lnea desde cualquier computadora en
cualquier parte del mundo.
4. Los usuarios tienen acceso solamente a sus cuentas asignadas.
5. Los clientes pueden llevar un registro de todas sus transacciones financieras.
6. El e-finance da un mejor servicio a los usuarios, ya que los clientes pueden realizar todo tipo
de transacciones financieras desde la comodidad de sus casas si lo desean.
7. Las empresas financieras que implementan el sistema de finanzas en lnea reducen sus costos
de operacin y ahorran tiempo, puesto se reducen las transacciones financieras en persona
(i.e. transacciones en las ventanillas de los bancos) y a que existe economas de escala.
8. Las compaas financieras crean una ventaja competitiva sobre sus competidores directos
debido a que e-finance sirve como barrera de entrada en el mercado.
9. Las empresas pueden ofrecer mayor cantidad de productos e instrumentos financieros como
bonos, acciones, fondos mutuos, transferencias de pago, a travs del Internet.
10. Las empresas financieras pueden atraer a nuevos clientes con la promocin de este sistema.
Deja un comentario
Publicado por reinel1700622819 en 26 noviembre, 2014 en Auditorias Especificas
Etiquetas: AMBIENTES ESPECIALES, SISTEMAS DE RECONOCIMIENTOS BIOMTRICOS RFID
COMPUTACIN/TELEFONA MVIL COMPUTACIN UBICUA CLOUD COMPUTING
Seguridad fsica y lgica, gestin de identidad, cybercrimen

26 nov
Polticas de seguridad
En la actualidad, las empresas se han visto obligadas a poseer dentro de su nmina personal
encargado de garantizar la seguridad e integridad de los diversos recursos que posee en el rea de
TI, principalmente enfocndose en el cuidado de la informacin, siendo este el principal recurso para
la toma de decisiones. El trabajo de estas personas debe enfocarse hacia:
Bloquear los accesos no autorizados
Garantizar la disponibilidad constante de los sistemas
Mantener la integridad de la informacin
Mantener la integridad de los procesos
Los integrantes de ste equipo de seguridad deben poseer tambin conocimientos de la empresa en
cuestin, para as estar preparados antes posibles situaciones de cambio.
Algunas organizaciones le asignan tanta importancia a la labor de seguridad que crean oficinas
encargadas del tema, en cambio otras organizaciones interpretan a la informacin solamente como
elemento informtico y que no es pertinente para su funcionamiento, estas organizaciones son las
que usualmente presentan ms problemas de informacin.
En 1970 se comenzaron a trazar las primeras polticas de seguridad,
determinando esta
responsabilidad para distintos tipos de profesionales, tales como, contadores, auditores, abogados,
directores de negocios,
ingenieros, gestores de proyectos y personal de seguridad fsica.
Actualmente existen carreras que solamente dedican su labor a garantizar la seguridad de la
General pgina 11
Actualmente existen carreras que solamente dedican su labor a garantizar la seguridad de la

informacin.
Es importante destacar que una caracterstica fundamental que los encargados de la seguridad
deben poseer es entender la composicin de la empresa y que puedan comunicarse correctamente
con las distintas reas y dependencias de la informacin.
La actividad de seguridad debe tratar los siguientes requerimientos:
Gestin de riesgos
Gestin de programas de seguridad
Seguridad de los datos
Creacin y mantenimientos de polticas
Cumplimiento regulatorio
Gestin de proyectos de seguridad
Gestin de incidentes
Seguridad en la red
Continuidad del negocio/cuidado en caso de desastres
Arquitectura de seguridad
En la actualidad muchos encargados de la seguridad de informacin basan su trabajo sobre los
siguientes procesos.
Supervisar el establecimiento, implementacin y cumplimiento de las polticas y estndares
que orientan y apoyan los trminos de la estrategia de seguridad de la informacin.
Comunicarse con la direccin ejecutiva para asegurar el apoyo al programa de seguridad de la
informacin.
Supervisar y realizar actividades de gestin de riesgos (evaluacin de riesgos, anlisis de
brechas, anlisis de impacto al negocio, etc.) para ayudar a la empresa a alcanzar un nivel
aceptable de riesgo.
Asesorar y formular recomendaciones en relacin con controles adecuados de seguridad de
personal, fsica y tcnica.
Administrar el programa de gestin de incidentes de seguridad de la informacin para
asegurar la prevencin, deteccin, contencin y correccin de brechas de seguridad.
Notificar los indicadores apropiados a la direccin ejecutiva.
Participar en la solucin de problemas relacionados con brechas a la seguridad.
Crear una campaa de formacin y concientizacin sobre seguridad de la informacin dirigida
a toda la empresa.
Coordinar la comunicacin de la campaa de concienciacin/concientizacin sobre la
seguridad de la informacin a todos los miembros de la empresa.
Coordinar con los proveedores, auditores, la direccin ejecutiva y los departamentos usuarios
para mejorar la seguridad de la informacin.
PROGRAMA DE AUDITORIA
PRESENTACIN
El equipo de auditores de la firma Chauditoria Consultores S.A., se dispone a presentar, la gua de
trabajo para la auditoria externa que se le realizara a la empresa Industria Nacional de Licores,
dedicada a la fabricacin y distribucin de licores. Esta gua enfocara su trabajo hacia el proceso de
establecimiento de polticas de seguridad, contendr una descripcin de los objetivos de la
auditoria, su alcance, las reas organizacionales involucradas con su personal, las mtricas de
evaluacin, una descripcin de los instrumentos a utilizar, el desarrollo de los instrumentos y
finalmente estableciendo las recomendaciones pertinentes.
OBJETIVOS DE LA AUDITORIA
Reconocer falencias dentro de la empresa Industria Nacional de Licores en lo que respecta al
manejo de polticas de seguridad de la informacin y otros activos informticos de la empresa.
Identificar personal responsable de realizar las labores de seguridad de informacin de la
empresa con sus respectivas responsabilidades, si en caso tal, no existen, realizar las
recomendaciones pertinentes para que la empresa pueda asignar responsables a esta labor.
Identificar si los resultados de la ejecucin de las polticas de seguridad son los requeridos por
la empresa.
Identificar activos informticos o informacin que poseen mayor vulnerabilidad dentro de la
empresa, para proceder a recomendar planes de proteccin si no se poseen.
ALCANCE DE LA AUDITORIA
Esta auditoria cubrir tanto vertical como horizontalmente las actividades de seguridad de la
General pgina 12
Esta auditoria cubrir tanto vertical como horizontalmente las actividades de seguridad de la
informacin dentro de la organizacin, recorriendo las diversas dependencias existentes en la
empresa y entrando a un nivel alto de detalle para poder identificar la mayor cantidad de falencias
posibles.
PERSONAS INVOLUCRADAS EN LA AUDITORIAS
Por principio de auditoria, el equipo auditor debe poseer suficiencia en las capacidades y
conocimientos que respectan al trabajo de seguridad de TI, a dems de ser independientes,
integrales, honestos, responsables, confiables e imparciales.
El equipo auditor esta conformado por:
Equipo 6
Christian Martnez Auditor encargado
Jorge Andrs Rodrguez Asistente
Como personal auditado se tiene a todo el departamento de TI, enfocndose a analizar el personal
encargado de la seguridad de la informacin y dems recursos informticos de la empresa.
MTRICAS DE EVALUACIN
% porcentaje de cubrimiento actual de recursos de TI con procesos de seguridad.
Grado de satisfaccin de la gerencia con la proteccin actual de los recursos de TI.
Recursos financieros y de personal requeridos en el proceso de seguridad de los recursos de
TI.
Niveles de riesgo de dao sobre los diferentes activos de TI.
Tiempos de cubrimiento de seguridad sobre los recursos de TI.
INSTRUMENTOS PARA LA REALIZACIN DE LA AUDITORIA
Como herramienta principal para la ejecucin de este proceso de auditoria se han seleccionado unos
instrumentos que se irn desarrollando segn la gua de auditoria, estos instrumentos permitirn
analizaran factores tanto cualitativos como cuantitativos de las polticas de seguridad para los
activos de TI. Es fundamental desarrollar estas actividades con colaboracin del departamento de
TI, pues esta es el rea primordial y ms relevante de la empresa en este aspecto, que nos proveer
de la informacin necesaria para realizar la auditoria.
A continuacin se realizara la descripcin de los instrumentos de la auditoria a realizar.
ENTREVISTA
Debido que el equipo auditado no es muy grande (entre 4 y 8 personas) se ha decidido elaborar un
instrumento de recopilacin de datos que sea el ms directo y conciso respecto el intercambio de
informacin entre el equipo auditado y el auditor y que adems le permita al equipo auditor estar
presente en el sitio, pues es necesario para la verificacin. Descartando entonces los instrumentos
de encuesta y cuestionario, que se dirigen hacia un mayor nmero de personas y que no poseen el
factor de comunicacin directa.
OBSERVACIN
Este instrumento de auditoria ser utilizado por el equipo auditor, pues es un excelente
complemento a la entrevista. De manera directa se acompaara al equipo se seguridad de TI,
adscrito al departamento de ti, en todo lo que respecta a establecimiento de polticas de seguridad y
desarrollo de estas dentro de la empresa. El equipo auditor deber poseer las capacidades y
conocimientos necesarios como se explico anteriormente. La observacin ser participativa,
introspectiva, histrica y controlada (realizar cambios para las pruebas).
DESARROLLO DE LOS INSTRUMENTOS DE TRABAJO
ENTREVISTA
GESTIN DE RIESGOS
1. poseen implementad dentro de la empresa un sistema para la gestin de riesgos
informticos?
2. Si se posee Cules son sus componentes fundamentales?
3. Se tienen en cuenta algunos de los principales marcos de referencia para la gestin de riesgos
tales como ISO27001, ISO2000, NIST sp800-34, as/nz 4360 u otros?
4. Si se tienen en cuenta a que nivel de detalle se implementan?
5. Se tiene en cuenta el entorno de la empresa para evaluar los riesgos de ti?
6. Identifican los activos y recursos de la empresa sobre los cuales actan los riesgos?
7. Identifican los riesgos que estn presentes sobre cada activo?
8. Le asignan un valor de probabilidad a estos riesgos identificados?
9. en el plan de riesgos se establecen tratamientos para estos?
10. los planes de tratamiento son implementados por la empresa?
General pgina 13
10. los planes de tratamiento son implementados por la empresa?

11. Si se implementan los resultados del tratamiento son los requeridos inicialmente?
12. Se establecen actividades de retroalimentacin despus de observar los resultados del
tratamiento?
GESTIN DE PROGRAMAS DE SEGURIDAD
13. Esta su organizacin con un estndar de ubicacin para los equipos correctamente
establecidos en su puesto de trabajo?
14. El sistema de electricidad que est utilizando, cuenta con las medidas de seguridad y
certificacin necesarias?
15. Sus equipos estn protegidos contra fallas de energa.
16. Tiene programas preventivos acerca de robos, incendios u desastres naturales?
17. Se manejan registros de personal autorizado para utilizar los equipos de la organizacin?
18. Maneja Personal directamente dedicado a la seguridad?
SEGURIDAD DE LOS DATOS
19. Se estn realizando backups de los datos de su organizacin?
20. Con que frecuencia se estn realizando backups de los datos de su organizacin?
21. Tiene un software de proteccin de datos?
22. Se protegen los datos con el back-ups?
23. Dnde se almacenan las copias de seguridad?
24. Hay polticas el manejo y la seguridad de datos?
25. En su organizacin hay personal solamente dedicado al manejo de las polticas de seguridad
de datos?
CREACIN Y MANTENIMIENTOS DE POLTICAS
26. Existen planes de mejoramiento respecto a la seguridad?
27. Hay personal dedicado completamente a la creacin de estos planes?
28. Las polticas las realiza personal externo o interno de la organizacin?
CUMPLIMIENTO REGULATORIO
29. Actualmente se rigen o actan bajo alguna norma de regulacin establecida?
30. Cul o cules normas utilizan?
31. Quines son los responsables en la organizacin que estas normas se cumplan
correctamente?
32. Estas personas estn calificadas para cumplir esta labor en la organizacin?
GESTIN DE PROYECTOS DE SEGURIDAD
33. Hay proyectos de seguridad actualmente en la organizacin?
34. Quines son los encargados de llevar a cabo estos proyectos de seguridad?
35. Sobre que parmetros y directrices se realizan estos proyectos de seguridad?
36. Con que finalidad son formulados estos proyectos de seguridad?
GESTIN DE INCIDENTES
37. Implementan algn gestor de servicios de tecnologa de informacin en la organizacin?
38. En la organizacin hay un departamento encargado de supervisar directamente que este
gestor de servicios se cumpla?
39. El personal encargado de manejar e implementar el gestor de servicios de tecnologa de
informacin, se encuentra capacitado para esta labor?
40. El personal encargado de manejar e implementar este gestor esta directamente asociado a la
empresa o es subcontratado?
SEGURIDAD EN LA RED
41. Est limitado el acceso fsico a internet en su organizacin?
42. Utiliza servidores apache para restringir el acceso de los usuarios de la organizacin a pginas
no concernientes a su funcin en la organizacin?
43. Maneja antivirus actualizados en los equipos de la organizacin?
44. Qu medidas toma su organizacin para tener una red segura?
45. Hay personal calificado para realizar el monitoreo de seguridad en la red?
46. Los datos transmitidos inalmbricamente estn cifrados?
47. Con que frecuencia se cambian claves de acceso de los usuarios de esta red?
CONTINUIDAD DEL NEGOCIO/CUIDADO EN CASO DE DESASTRES
48. Se tiene planes de continuidad de servicio en caso de incendio, robos o desastres naturales?
49. Bajo qu modelo de Gestin de Tecnologas de Informacin, se manejan los planes de
continuidad de servicio?
General pgina 14
50. Se han hecho simulacros para ver el impacto y el funcionamiento de estos planes de
51. Quines son los encargados de manejar, monitorear e implementar estos planes de
52. Estn capacitadas estar personas para realizar tal labor?
53. Estas personas estn directamente relacionadas con la organizacin o son subcontratadas?
ARQUITECTURA DE SEGURIDAD
54. Se utiliza algn diagrama de seguridad en la organizacin?
55. Quines son los encargados de estos diagramas se cumplan?
Deja un comentario
Etiquetas: cybercrimen, gestin de identidad, Seguridad fsica y lgica
Sistemas operativos Windows/Windows server, Solaris,

Unix, Linux, Mac Os X
26 nov
Auditoras Especficas: Sistemas Operativos
Los sistemas operativos se consideran la base sobre la cual se ejecutan y administran los sistemas de
informacin en las empresas.
Normalmente todo programa o aplicativo que se requiera utilizar necesita de base un sistema
operativo que comunique sus comandos de
alto nivel con el lenguaje de mquina. Los sistemas operativos tienen diversos puntos a auditar, pues
su funcionamiento implica desde la comunicacin con el hardware hasta el manejo de usuarios y
de complejos sistemas que requieren cierto grado de seguridad y disponibilidad.
SISTEMAS OPERATIVOS WINDOWS
Historia:
Microsoft ha seguido dos rutas paralelas en sus sistemas operativos. Ha
sido una ruta para usuarios domsticos y el otro ha sido para el usuario
profesional de IT. Las dos rutas generalmente han dado lugar a
versiones caseras con mayor soporte multimedia y menos funcionalidad
en redes y seguridad y versiones profesionales con soporte multimedia
inferior y mejor de red y seguridad
La primera versin de Microsoft Windows, versin 1.0, lanzado en
noviembre de 1985, careca de un grado de funcionalidad y logr muy
poca popularidad y compiti con el sistema operativo de Apple. Windows
1.0 no es un sistema operativo completo; ms bien es una extensin
grfica de MS-DOS. Microsoft Windows versin 2.0 fue lanzado en
noviembre de 1987 y fue un poco ms popular que su predecesor.
Windows 2.03 (fecha de lanzamiento en enero de 1988) haba cambiado
el sistema operativo desde windows a superposicin de overlapping
windows. El resultado de este cambio llev a presentar una demanda
contra Microsoft basado en la infraccin de derechos de autor de Apple
General pgina 15
contra Microsoft basado en la infraccin de derechos de autor de Apple

Computer.
Microsoft Windows versin 3.0, lanzado en 1990, fue la primera versin
de Microsoft Windows que consigui un amplio xito comercial,
vendiendo 2 millones de copias en los primeros seis meses. Presentaba
mejoras en la interfaz de usuario y en la multitarea. Recibi un lavado
de cara en Windows 3.1, que se hizo disponible para el pblico en
general el 1 de marzo de 1992. El soporte de Windows 3.1 termino el 31
de diciembre de 2001.
En julio de 1993, Microsoft lanz Windows NT basado en un nuevo
kernel. NT era considerado como el sistema operativo profesional y fue
la primera versin de Windows para utilizar la multitarea preemptiva.
Windows NT ms tarde sera reestructurado tambin para funcionar
como un sistema operativo para el hogar, con Windows XP.
El 24 de agosto de 1995, Microsoft lanz Windows 95, una versin
nueva para los consumidores, y grandes fueron los cambios que se
realizaron a la interfaz de usuario, y tambin se utiliza multitarea
preemptiva. Windows 95 fue diseado para sustituir no slo a Windows
3.1, sino tambin de Windows for Workgroups y MS-DOS. Tambin fue
el primer sistema operativo Windows para utilizar las capacidades de
Plug and Play. Los cambios de Windows 95 trajo en el escritorio eran
revolucionarios, a diferencia de la evolucin, como los de Windows 98 y
Windows Me. El soporte estndar para Windows 95 finaliz el 31 de
diciembre de 2000 y el soporte ampliado para Windows 95 finaliz el 31
de diciembre de 2001.
Caractersticas de Windows 2008 Server:
Hay algunas diferencias (unas sutiles y otras no tanto) con respecto a la
arquitectura del nuevo Windows Server 2008, que pueden cambiar
drsticamente la manera en que se usa este sistema operativo. Estos
cambios afectan a la manera en que se gestiona el sistema hasta el
punto de que se puede llegar a controlar el hardware de forma ms
efectiva, se puede controlar mucho mejor de forma remota y cambiar de
forma radical la poltica de seguridad. Entre las mejoras que se incluyen,
estn:
Nuevo proceso de reparacin de sistemas NTFS: proceso en
segundo plano que repara los archivos daados.
Creacin de sesiones de usuario en paralelo: reduce tiempos de
espera en los Terminal Services y en la creacin de sesiones de
usuario a gran escala.
Cierre limpio de Servicios.
Sistema de archivos SMB2: de 30 a 40 veces ms rpido el acceso
a los servidores multimedia.
Address Space Load Randomization (ASLR): proteccin contra
malware en la carga de controladores en memoria.
Windows Hardware Error Architecture (WHEA): protocolo
mejorado y estandarizado de reporte de errores.
Virtualizacin de Windows Server: mejoras en el rendimiento de la
virtualizacin.
PowerShell: inclusin de una consola mejorada con soporte GUI
para administracin.
Server Core: el ncleo del sistema se ha renovado con muchas y
nuevas mejoras.
Seguridad y Cumplimiento en Windows 2008 Server
Windows Server 2008 dispone de muchas caractersticas que mejoran la
seguridad y el cumplimiento. Algunas mejoras clave incluyen:
Estado de cliente obligatorio: Proteccin de acceso a redes (NAP),
que permite que los administradores configuren y apliquen
requisitos de estado y seguridad antes de permitir el acceso de los
General pgina 16
requisitos de estado y seguridad antes de permitir el acceso de los

clientes a la red
Supervisin de entidades de certificacin: PKI de empresa, que
mejora la capacidad de supervisar y solucionar problemas de
mltiples entidades de certificacin (CA)
Mejoras de firewall: el nuevo Firewall de Windows con seguridad
avanzada ofrece varias mejoras de seguridad
Cifrado y proteccin de datos: BitLocker protege datos
confidenciales mediante cifrado de la unidad de disco
Herramientas criptogrficas: la ltima generacin de criptologa
ofrece una plataforma de desarrollo flexible de criptografa
Aislamiento de servidor y dominio: los recursos de servidor y
dominio se pueden aislar para limitar el acceso a equipos
autenticados y autorizados
Controlador de dominio de slo lectura (RODC): el RODC es la
nueva opcin de instalacin de controlador de dominio que se
puede instalar en sitios remotos con niveles ms bajos de
seguridad fsica
Estas mejoras ayudan a los administradores a aumentar el nivel de
seguridad de su organizacin y simplifican la administracin e
implementacin de configuraciones y opciones relacionadas con la
seguridad.
Proteccin de acceso a redes
La proteccin de acceso a redes (NAP) evita que equipos que no se
encuentran en buen estado tengan acceso a la red de la organizacin y
la pongan en peligro. NAP se usa para configurar y aplicar requisitos de
estado de cliente, y para actualizar, o corregir, equipos cliente con
incumplimiento antes que se puedan conectar a la red corporativa. Con
NAP, los administradores pueden configurar directivas de estado que
definen por ejemplo requisitos de software, requisitos de actualizacin
de seguridad y opciones de configuracin necesarias en equipos que se
conectan a la red de la organizacin.
NAP aplica requisitos de estado evaluando el estado de los equipos
cliente y limitando el acceso a la red ante incumplimientos de los
equipos cliente. Componentes del cliente y del servidor participan en la
correccin de equipos cliente en situacin de incumplimiento, para que
puedan obtener un acceso ilimitado a la red. Si se determina que un
equipo cliente presenta incumplimientos, se le puede prohibir el acceso
a la red o aplicarle de inmediato las revisiones para devolverlo al estado
de cumplimiento.
Los mtodos de cumplimiento de NAP admiten cuatro tecnologas de
acceso a redes que funcionan junto con NAP para aplicar directivas de
estado: El cumplimiento de seguridad de protocolo de Internet (IPSEC),
el cumplimiento de 802.1X, el cumplimiento de red privada virtual (VPN)
para enrutamiento y acceso remoto y el cumplimiento de protocolo de
configuracin dinmica de host (DHCP).
Funcionalidad de seguridad avanzada de Firewall de Windows
El Firewall de Windows con seguridad avanzada en Windows Server
2008 es un firewall con estado basado en host que permite o bloquea el
trfico de red segn su configuracin y las aplicaciones que se
encuentran en ejecucin, para proteger la red de usuarios y programas
malintencionados.
Una nueva caracterstica es la capacidad de permitir que el firewall
intercepte tanto el trfico entrante como el saliente. Un administrador
de red puede, por ejemplo, configurar el nuevo Firewall de Windows con
un conjunto de excepciones para bloquear todo el trfico que se enva a
puertos especficos, como puertos conocidos usados por software de
virus o especificar direcciones que contengan contenido confidencial o
General pgina 17
virus o especificar direcciones que contengan contenido confidencial o

no deseable. Esto protege al equipo de virus que podran propagarse a
travs de la red y protegen a la red de virus que pueden intentar
propagarse desde un sistema en riesgo.
Como el nmero de opciones de configuracin del Firewall de Windows
ha aumentado, se ha agregado un nuevo complemento de MMC
denominado Firewall de Windows con seguridad avanzada para
simplificar la administracin. Con el nuevo complemento, los
administradores de red pueden configurar de forma remota la
configuracin del Firewall de Windows en estaciones de trabajo clientes
y en servidores (algo que no es posible en versiones anteriores sin una
conexin a escritorio remoto), simplificando as la configuracin y
administracin remotas.
En versiones anteriores de Windows Server, Firewall de Windows e IPsec
se configuraban de forma independiente. Debido a que tanto un firewall
basado en host como IPsec pueden bloquear o permitir en Windows el
trfico entrante, es posible crear excepciones de firewall y reglas de
IPsec contradictorias o superpuestas. El nuevo Firewall de Windows en
Windows Server 2008 han combinado la configuracin de ambos
servicios de red mediante la misma GUI e iguales comandos de lnea de
comandos. Esta integracin de la configuracin de firewall e IPsec
simplifica la configuracin de firewall e IPsec y ayuda a evitar la
superposicin de directivas y las configuraciones contradictorias.
Cifrado de unidad BitLocker
El cifrado de unidad BitLocker es una nueva caracterstica clave de
seguridad en Windows Server 2008, que ayuda a proteger servidores,
estaciones de trabajo y equipos mviles. Tambin se encuentra
disponible en las ediciones de Windows Vista Enterprise y Windows Vista
Ultimate para proteger equipos cliente y equipos mviles. BitLocker cifra
el contenido de una unidad de disco. Esto evita que un ladrn que
ejecuta un sistema operativo paralelo u otras herramientas de software,
se salte las protecciones de archivo y sistema, o que pueda realizar una
visualizacin sin conexin de archivos almacenados en la unidad de
disco protegida.
PKI de empresa (PKIView)
Hay varias mejoras en la infraestructura de claves pblicas (PKI) en
Windows Server 2008 y sistemas operativos Windows Vista. Se ha
aumentado la capacidad de administracin en todos los aspectos de
Windows PKI, se han rediseado las revocaciones de servicios y hay una
disminucin de la superficie de ataque para la inscripcin. Las mejoras
en PKI incluyen:
PKI de empresa (PKIView): originalmente parte del Kit de recursos
de Microsoft Windows Server 2003 y llamada herramienta PKI
Health, PKIView es ahora un complemento Microsoft Management
Console (MMC) de Windows Server 2008. Se usa para analizar el
estado de las CA, y para consultar detalles de certificados de la
entidad emisora publicados en AD CS.
Protocolo de estado de certificados en lnea (OCSP): un
contestador conectado basado en el Protocolo de estado de
certificados en lnea (OCSP) se puede usar para administrar y
distribuir informacin de estado de revocacin en casos donde el
uso de CRL convencionales no es una solucin ptima. Los
contestadores conectados se pueden configurar en un solo equipo
o en una Matriz contestadores conectados.
Servicio de inscripcin de dispositivos de red (NDES): en Windows
Server 2008, el Servicio de inscripcin de dispositivos de red
(NDES) es la implementacin de Microsoft del Protocolo de
inscripcin de certificados simple (SCEP), un protocolo de
General pgina 18
inscripcin de certificados simple (SCEP), un protocolo de

comunicaciones que permite que software en ejecucin en
dispositivos de red, como enrutadores y conmutadores que de otro
modo no se pueden autenticar en la red, se inscriban en
certificados x509 de una entidad de certificacin (CA).
Inscripcin web: el nuevo control de inscripcin web es ms
seguro, ms fcil de escribir en secuencia de comandos y de
actualizar que la versin anterior.
Directiva de grupo y PKI: la configuracin de certificados en
directivas de grupo permite a los administradores administrar
configuracin de certificados desde una ubicacin central para
todos los equipos del dominio.
Criptografa de nueva generacin (CNG)
La Criptografa de nueva generacin (CNG) ofrece una plataforma de
desarrollo criptogrfica flexible que permite a los profesionales de TI
crear, actualizar y usar algoritmos personalizados de criptografa en
aplicaciones relacionadas con criptografa, como Servicios de Certificate
Server de Active Directory (AD CS), Capa de sockets seguros (SSL) y
Seguridad de Protocolo Internet (IPSEC). CNG implementa los
algoritmos cifrados de la Suite B del gobierno de los EE.UU., que
incluyen algoritmos para cifrado, firmas digitales, intercambio de claves
y hashing.
Un controlador de dominio de slo lectura (RODC) es un nuevo tipo de
controlador de dominio disponible en el sistema operativo Windows
Server 2008, diseado para implementarse principalmente en entornos
de sucursales. Un RODC puede reducir los riesgos de implementar un
controlador de dominio en ubicaciones remotas, como sucursales, donde
no se puede garantizar la seguridad fsica.
Excepto por las contraseas de cuentas, un RODC dispone de todos los
objetos y atributos de servicios de dominio de Active Directory de
Microsoft (AD DS) de que dispone un controlador de dominio de
escritura. No obstante los clientes, no pueden escribir cambios
directamente en un RODC. Como los cambios no se escriben
directamente al RODC y por lo tanto no se originan de forma local, los
controladores de dominio de escritura que son asociados de replicacin
no tienen que extraer cambios del RODC. La separacin de funciones del
administrador especifica que a cualquier usuario del dominio se puede
delegar la administracin local de un RODC sin concederle ningn
derecho de usuario del dominio propiamente dicho ni de otros
controladores de dominio.
Aislamiento de servidor y dominio
En una red basada en Microsoft Windows, los administradores pueden
aislar lgicamente los recursos de servidor y dominio para limitar el
acceso a equipos autenticados y autorizados. Por ejemplo, se puede
crear una red lgica dentro de la red fsica existente, donde los equipos
compartan un conjunto comn de requisitos para comunicaciones
seguras. Cada equipo en esta red lgicamente aislada debe ofrecer
credenciales de autenticacin a otros equipos en la red aislada para
establecer conectividad.
Este aislamiento evita que equipos y programas no autorizados
obtengan acceso a recursos de manera inapropiada. Las solicitudes de
equipos que no son parte de la red aislada se ignoran. El aislamiento de
servidor y dominio puede ayudar a proteger servidores y datos
especficos de gran valor as como proteger a equipos administrados de
equipos y usuarios no administrados o invasores.
Se puede usar dos clases de aislamiento para proteger una red:
Aislamiento de servidor: en un escenario de aislamiento de
servidor, se configuran servidores especficos mediante directivas
General pgina 19
servidor, se configuran servidores especficos mediante directivas

de IPsec para aceptar slo comunicaciones autenticadas de otros
equipos. Por ejemplo, el servidor de la base de datos se puede
configurar para que slo acepte conexiones del servidor de
aplicaciones web.
Aislamiento de dominio: para aislar un dominio, los
administradores pueden usar la pertenencia al dominio de Active
Directory para garantizar que los equipos que sean miembros de
un dominio slo acepten comunicaciones autenticadas y
protegidas de otros equipos que son miembros del dominio. La red
aislada slo se compone de equipos que forman parte del dominio.
El aislamiento de dominio usa directivas de IPsec para
proporcionar proteccin para el trfico que se enva entre
miembros del dominio, incluidos todos los equipos cliente y
servidor.
SISTEMAS OPERATIVOS UNIX
A finales de 1960, el Instituto Tecnolgico de Massachusetts, los
Laboratorios Bell de AT&T y General Electric trabajaban en un sistema
operativo experimental llamado Multics (Multiplexed Information and
Computing Service), desarrollado para ejecutarse en una computadora
central (mainframe) modelo GE-645. El objetivo del proyecto era
desarrollar un gran sistema operativo interactivo que contase con
muchas innovaciones, entre ellas mejoras en las polticas de seguridad.
El proyecto consigui dar a luz versiones para produccin, pero las
primeras versiones contaban con un pobre rendimiento. Los laboratorios
Bell de AT&T decidieron desvincularse y dedicar sus recursos a otros
proyectos.
Uno de los programadores del equipo de los laboratorios Bell, Ken
Thompson, sigui trabajando para la computadora GE-635 y escribi un
juego llamado Space Travel, (Viaje espacial). Sin embargo, descubri
que el juego era lento en la mquina de General Electric y resultaba
realmente caro, algo as como 75 dlares de EE.UU. por cada partida.
De este modo, Thompson escribi nuevamente el programa, con ayuda
de Dennis Ritchie, en lenguaje ensamblador, para que se ejecutase en
una computadora DEC PDP-7. Esta experiencia, junto al trabajo que
desarroll para el proyecto Multics, condujo a Thompson a iniciar la
creacin de un nuevo sistema operativo para la DEC PDP-7. Thompson y
Ritchie lideraron un grupo de programadores, entre ellos a Rudd
Canaday, en los laboratorios Bell, para desarrollar tanto el sistema de
ficheros como el sistema operativo multitarea en s. A lo anterior,
agregaron un intrprete de rdenes (o intrprete de comandos) y un
pequeo conjunto de programas. El proyecto fue bautizado UNICS,
como acrnimo Uniplexed Information and Computing System, pues
slo prestaba servicios a dos usuarios (de acuerdo con Andrew
Tanenbaum, era slo a un usuario). La autora de esta sigla se le
atribuye a Brian Kernighan, ya que era un hack de Multics. Dada la
popularidad que tuvo un juego de palabras que consideraba a UNICS un
sistema MULTICS castrado (pues eunuchs, en ingls, es un homfono de
UNICS), se cambi el nombre a UNIX, dando origen al legado que llega
hasta nuestros das.[10]
Hasta ese instante, no haba existido apoyo econmico por parte de los
laboratorios Bell, pero eso cambi cuando el Grupo de Investigacin en
Ciencias de la Computacin decidi utilizar UNIX en una mquina
superior a la PDP-7. Thompson y Ritchie lograron cumplir con la solicitud
de agregar herramientas que permitieran el procesamiento de textos a
UNIX en una mquina PDP-11/20, y como consecuencia de ello
consiguieron el apoyo econmico de los laboratorios Bell. Fue as como
por vez primera, en 1970, se habla oficialmente del sistema operativo
General pgina 20
por vez primera, en 1970, se habla oficialmente del sistema operativo

UNIX[11] ejecutado en una PDP-11/20. Se inclua en l un programa para
dar formato a textos (runoff) y un editor de texto. Tanto el sistema
operativo como los programas fueron escritos en el lenguaje
ensamblador de la PDP-11/20. Este sistema de procesamiento de
texto inicial, compuesto tanto por el sistema operativo como de runoff
y el editor de texto, fue utilizado en los laboratorios Bell para procesar
las solicitudes de patentes que ellos reciban. Pronto, runoff evolucion
hasta convertirse en troff, el primer programa de edicin electrnica que
permita realizar composicin tipogrfica. El 3 de noviembre de 1971
Thomson y Ritchie publicaron un manual de programacin de UNIX
(ttulo original en ingls: UNIX Programmers Manual).
En 1972 se tom la decisin de escribir nuevamente UNIX, pero esta vez
en el lenguaje de programacin C.[13] Este cambio significaba que UNIX
podra ser fcilmente modificado para funcionar en otras computadoras
(de esta manera, se volva portable) y as otras variaciones podan ser
desarrolladas por otros programadores. Ahora, el cdigo era ms
conciso y compacto, lo que se tradujo en un aumento en la velocidad de
desarrollo de UNIX. AT&T puso a UNIX a disposicin de universidades y
compaas, tambin al gobierno de los Estados Unidos, a travs de
licencias. Una de estas licencias fue otorgada al Departamento de
Computacin de la Universidad de California, con sede en Berkeley.[14]
En 1975 esta institucin desarroll y public su propio sucedneo de
UNIX, conocida como Berkeley Software Distribution (BSD), que se
convirti en una fuerte competencia para la familia UNIX de AT&T.
Mientras tanto, AT&T cre una divisin comercial denominada Unix
Systems Laboratories para la explotacin comercial del sistema
operativo. El desarrollo prosigui, con la entrega de las versiones 4, 5 y
6[15] en el transcurso de 1975. Estas versiones incluan los pipes o
tuberas, lo que permiti dar al desarrollo una orientacin modular
respecto a la base del cdigo, consiguiendo aumentar an ms la
velocidad de desarrollo. Ya en 1978, cerca de 600 o ms mquinas
estaban ejecutndose con alguna de las distintas encarnaciones de
UNIX.
AT&T entonces inici el desarrollo de UNIX System III, basado en la
versin 7, como una variante de tinte comercial y as venda el producto
de manera directa. La primera versin se lanz en 1981. A pesar de lo
anterior, la empresa subsidiaria Western Electric segua vendiendo
versiones antiguas de Unix basadas en las distintas versiones hasta la
sptima. Para finalizar con la confusin con todas las versiones
divergentes, AT&T decidi combinar varias versiones desarrolladas en
distintas universidades y empresas, dando origen en 1983 al Unix
System V Release 1. Esta versin present caractersticas tales como el
editor Vi y la biblioteca curses, desarrolladas por Berkeley Software
Distribution en la Universidad de California, Berkeley. Tambin contaba
con compatibilidad con las mquinas VAX de la compaa DEC.
En 1993, la compaa Novell adquiri la divisin Unix Systems
Laboratories de AT&T junto con su propiedad intelectual.[16] Esto ocurri
en un momento delicado en el que Unix Systems Laboratories disputaba
una demanda en los tribunales contra BSD por infraccin de los
derechos de copyright, revelacin de secretos y violacin de marca de
mercado.
Aproximadamente por esa misma fecha, un estudiante de ciencias de la
computacin llamado Linus Torvalds desarroll un ncleo para
computadoras con arquitectura de procesador Intel x86 que mimetizaba
muchas de las funcionalidades de UNIX y lo lanz en forma de cdigo
abierto en 1991, bajo el nombre de Linux. En 1992, el Proyecto GNU
comenz a utilizar el ncleo Linux junto a sus programas.
General pgina 21
comenz a utilizar el ncleo Linux junto a sus programas.

En 1995, Novell vendi su divisin UNIX comercial[16] (es decir, la
antigua Unix Systems Laboratories) a Santa Cruz Operation (SCO)
reservndose, aparentemente, algunos derechos de propiedad
intelectual sobre el software.[17] SCO contina la comercializacin de
System V en su producto UnixWare, que durante cierto tiempo pas a
denominarse OpenUnix, aunque ha retomado de nuevo el nombre de
UnixWare.
Carctersticas Generales de Unix
Multitareas
Esta palabra describe la habilidad de ejecutar, aparentemente al mismo
tiempo, numerosos programas sin obstaculizar la ejecucin de cada Esto
se conoce como multitareas preferentes, porque cada programa tiene
garantizada la posibilidad de correr, esto es, cada programa no se
ejecuta hasta que el sistema operativo lo aparta para permitir que otros
programas corran. Otros sistemas operativos no soportan multitareas
preferente, solo la llamada multitareas cooperativa, bajo la cual los
programas corren hasta que ellos mismos permiten la ejecucin de otro
programa o no tienen otra cosa que hacer durante este periodo.
Es fcil apreciar los beneficios de tener capacidades multitareas
preferentes. Adems de reducir los tiempos muertos, la flexibilidad de
no tener que cerrar las ventanas de aplicaciones antes de abrir y
trabajar en otras es mucho mas conveniente.
El concepto de que numerosos usuarios pudieran accesar aplicaciones o
el potencial de procesamiento de una sola PC era un mero sueo desde
hace unos aos. La capacidad para asignar tiempo del microprocesador
a numerosas aplicaciones simultneas se prest como consecuencia a
servir a numerosas personas al mismo tiempo, cada una ejecutando una
o ms aplicaciones. Una particularidad de esta caracterstica, es que
ms de una persona puede trabajar en la misma versin de la misma
aplicacin de manera simultnea, desde las mismas terminales o desde
terminales separadas. Esto no debe confundirse con numerosos usuarios
que actualizan un archivo a un tiempo, particularidad que es
potencialmente desconcertante y peligrosa a la vez que indeseable.
Existen an mas caractersticas que merecen mencionarse sobre el
sistema operativo con el que realizamos esta tesis, pero que para del
desarrollo de la misma no es necesario describir tan
detalladamente. [Jack Tackett, 1996]
Estas caractersticas son las siguientes:
Shells programables
Independencia de dispositivos bajo Unix
Independencia de dispositivos bajo Linux
Comunicaciones y capacidades de la red
Portabilidad de sistemas abiertos
Seguridad en Unix
En la dcada de los ochenta para mucha gente el concepto de seguridad
era algo inimaginable en el entorno Unix: la facilidad con que un experto
poda acceder a un sistema, burlar todos sus mecanismos de proteccin
y conseguir el mximo nivel de privilegio era algo de sobra conocido por
todos, por lo que nadie poda pensar en un sistema Unix seguro.
Afortunadamente, los tiempos han cambiado mucho desde entonces.
Aunque en un principio y segn uno de sus creadores, Unix no se dise
para ser seguro, a finales de los 80 se convirti en el primer sistema
operativo en alcanzar niveles de seguridad quasi militares. En la
actualidad se puede considerar el sistema operativo de propsito
general ms fiable del mercado; desde los clones habituales (Solaris,
HP-UX, IRIX) hasta los `Trusted Unix (de los que hablaremos a
continuacin), pasando por los sistemas gratuitos (Linux, FreeBSD),
General pgina 22
continuacin), pasando por los sistemas gratuitos (Linux, FreeBSD),

cualquier entorno Unix puede ofrecer los mecanismos de seguridad
suficientes para satisfacer las necesidades de la mayora de
instituciones. Los Unices habituales, como Solaris o Linux, son bastante
inseguros tal y como se instalan por defecto (out-of-the-box), como
veremos a la hora de hablar de la seguridad lgica; esto significa que
requieren de una mnima puesta a punto, en cuanto a seguridad se
refiere, antes de ponerlos a trabajar con unas mnimas garantas de
fiabilidad. Una vez realizada esta puesta a punto suelen tener una
seguridad aceptable en redes de propsito general. El problema es que
en muchas ocasiones se pone a trabajar a Unix tal y como se instala por
defecto, lo que convierte a cualquier sistema operativo, Unix o no, en un
autntico agujero en cuanto a seguridad se refiere: cuentas sin
password o con passwords por defecto, servicios abiertos, sistemas de
ficheros susceptibles de ser compartidos
A la vista de lo comentado en este punto, parece claro que Unix ha
dejado de ser ese sistema arcaico e inseguro de sus primeros tiempos
para convertirse en el entorno de trabajo ms fiable dentro de la gama
de sistemas operativos de propsito general; sin embargo, por alguna
extraa razn, mucha gente tiende a considerar todava a los equipos
Unix como amenazas en la red, especialmente a los clones gratuitos
como Linux o FreeBSD que habitualmente se ejecutan en PCs; el hecho
de que sean gratuitos no implica en ningn momento que sean
inestables, y mucho menos, inseguros: empresas tan importantes como
Yahoo! (www.yahoo.com) o Citron (www.citroen.com), o el propio
servicio postal de Estados Unidos utilizan estos entornos como
servidores web o como firewall en sus redes. No obstante, las polticas
de marketing de ciertas empresas desarrolladoras tienden a popularizar
(y lamentablemente lo consiguen) ideas errneas sobre la seguridad en
Unix, lo que motiva que algunas organizaciones intenten buscar
sistemas alternativos, casi siempre sustituyendo mquinas Unix por
entornos Windows NT o Windows 9x. No creo que haga falta hacer
comentarios sobre la seguridad de estos sistemas, por lo que no
entraremos en detalles sobre ella; si alguien est interesado, o duda de
la capacidad de Unix frente a estos entornos, puede consultar alguna de
las comparativas o de los artculos publicados sobre el tema por
universidades o por prestigiosos nombres dentro del mundo de la
seguridad informtica, o simplemente interesarse por el tipo de sistemas
utilizados en centros de investigacin como AT&T y la NASA, o en
organismos de seguridad como el FBI y la NSA: Unix, por supuesto.
SISTEMAS OPERATIVOS SOLARIS
Historia:
El primer sistema operativo de Sun naci en 1983 y se llam
inicialmente SunOS. Estaba basado en el sistema UNIX BSD, de la
Universidad de Berkeley, del cual uno de los fundadores de la compaa
fue programador en sus tiempos universitarios. Ms adelante incorpor
funcionalidades del System V, convirtindose prcticamente en un
sistema operativo totalmente basado en System V.
Esta versin basada en System V fue publicada en 1992 y fue la primera
en llamarse Solaris, ms concretamente Solaris 2. Las anteriores
fueron llamadas Solaris 1 con efecto retroactivo. SunOS solo tendra
sentido a partir de ese momento como ncleo de este nuevo entorno
operativo Solaris. De esta forma Solaris 2 contena SunOS 5.0. Desde
ese momento se distingue entre el ncleo del sistema operativo
(SunOS), y el entorno operativo en general (Solaris), aadindole otros
paquetes como Apache o DTrace. Como ejemplo de esta funcin, Solaris
8 contiene SunOS 5.8.
Caractersticas Solaris 10:
General pgina 23
Caractersticas Solaris 10:

A comienzos del 2005, Sun Microsystems ha sacado a la luz la version
10 (5.10) de su sistema operativo Solaris con nuevas caractersticas.
Predictive Self-Healing
Sun ha insertado en el ncleo del sistema operativo solaris un sistema
denominado Tecnologa preventiva de auto recuperacin (PSH,
Predictive Self-Healing). Con esta tecnologa se reducen los riesgos y
aumenta la disponibilidad del equipo, adems PSH permite tomar
medidas (diagnosticar, aislar, y recuperar las fallas existentes en los
dispositivos de E/S o zonas en la memoria) para reducir daos por
futuros peligros que puedan causar el caos en los sistemas y como
resultado reducir los tiempos de cada, lo cual significa ahorrar tiempo y
dinero.
Como bien se sabe, el sistema operativo es un software bsico que
controla una computadora; el sistema operativo tiene 3 principales
funciones: coordina y manipula el hardware del ordenador o
computadora; (como la impresora, la memoria, etc.), y gestiona los
errores del hardware y la prdida de datos;(el teclado, el mouse). Es por
ello que Sun ha creado el PSH, cuya finalidad general es evitar los
errores del sistema y/o minimizar el dao que estos puedan ocasionar.
Ventajas de las caractersticas del PSH del sistema operativo
Disponibilidad de servicio y sistema mejorado a travs de un
diagnostico y aislamiento de los componentes defectuosos.
Diagnostico automtico y reinicio de componentes de hardware y
software en milsimas de segundo.
Administracin simplificada para administrar servicios.
DTrace
Denominado tambin rastreo dinmico, que busca el fondo y llega a la
raz de los problemas de rendimiento en tiempo real. Dicha herramienta
trabaja utilizando sondas inteligentes del sistema que pueden acceder a
reas de ms lento rendimiento o con cuellos de botella, estas sondas
estn dispersadas por todo el sistema, que ilumina cada rincn oscuro
del sistema Solaris. Y adems permite visualizar mejor la actividad del
ncleo y de la aplicacin. Y a la vez ofreciendo una visin operativa y
una ganancia operativa no superada aun por otro sistema operativo.
Solaris Containers
Permite la creacin de muchos ambientes privados de ejecucin y una
sola instancia de solaris. Cada ambiente tiene su propia identidad,
independiente del hardware subyacente aunque se comporta como si se
estuviera ejecutando en su propio sistema, permitiendo as que la
consolidacin sea un proceso sencillo, confiable y seguro. Y dado que los
recursos del sistema estn virtualizados, los administradores pueden
incrementar la utilizacin del hardware, al tiempo que satisfacen los
altos picos de demanda.
ZFS, Zettabyte File System
Artculo principal: ZFS (sistema de archivos)
Es un nuevo sistema de archivos dinmico del sistema operativo Solaris.
Ofrece una administracin sencilla que automatiza y consolida
complicados conceptos de almacenamiento y por otro lado protege
todos los datos con sumas de 64 bits que detectan y corrigen el dao de
datos silenciosos. Es el primer sistema de archivos de 128 bits, ofrece
una capacidad de 16.000 millones de veces superior a la de los sistemas
de 32 o 64 bits, virtualmente es el nico sistema de archivos con
capacidad de almacenamiento prcticamente ilimitada.
Process rigths management
Solaris 10 ofrece una solucin para el modelo de usuario todo o nada
mediante la integracin de minimos privilegios de seguridad
directamente dentro de la base del sistema operativo. Gracias a esta
General pgina 24
directamente dentro de la base del sistema operativo. Gracias a esta

nueva funcin, Solaris se mantiene como el nico sistema operativo
UNIX que ofrece este modelo de seguridad completamente integrado
dentro de sus componentes del ncleo del sistema operativo, cada
aplicacin Solaris tiene una lista cerrada de los privilegios especificos
impuestos por el ncleo, en lugar de un solo privilegio de raz
todopoderoso.
Adicionalmente cada servicio Solaris ha sido convertido para que utilice
slo los privilegios mnimos necesarios, lo cual hace an ms difcil
violar el sistema y utilizar los servicios. Los administradores pueden
asignar grupos de privilegios por funciones para diferentes tipos de
administradores y desarrolladores.
Libre de virus por ms de 20 aos, Solaris incluye la tecnologa del
Trusted Solaris ampliamente utilizada por el gobierno de los Estados
Unidos para garantizar la seguridad de sus sistemas.
Sun Update Connection
Utilizando Solaris 10 los usuarios disponen de un servicio de
actualizaciones que les permitir estar al da con las innovaciones y el
entorno del nuevo ambiente operativo.
Compatibilidad garantizada
SISTEMAS OPERATIVOS MAC OS
Historia:
Mac OS X est basado en el ncleo Mach. Ciertas partes de las
implementaciones de UNIX por parte de FreeBSD y NetBSD fueron
incorporadas en NEXTSTEP, en el que se bas Mac OS X. Nextstep fue el
sistema operativo orientado a objetos desarrollado por Steve Jobs en
NeXT despus de dejar Apple en 1985. Mientras Jobs estaba afuera de
Apple, la compaa intent crear un sistema de prxima generacin a
travs de los proyectos Taligent, Copland y Gershwin, con poco xito.
Eventualmente, el sistema de NeXT (en ese entonces denominado
OPENSTEP) fue seleccionado para ser la base del prximo sistema
operativo de Apple, por lo cual la compaa de Cupertino adquiri NeXT
en su totalidad. Steve Jobs regreso a Apple como CEO interino, y luego
asumi el cargo de lleno, acompaando la transformacin de OPENSTEP
en un sistema que sera adoptado para el mercado primario de Apple,
los usuarios de hogar y los profesionales multimedia. El proyecto fue
conocido inicialmente como Rhapsody y luego adopt el nombre de Mac
OS X.
Mac OS X Server 1.x era incompatible con el software diseado para el
Mac OS original y no dispona de soporte para el puerto IEEE 1394
(FireWire). Mac OS X 10.x trajo consigo mayor compatibilidad y
funcionalidad al incluir la Carbon API al igual que soporte para FireWire.
Con la evolucin del sistema, abandon el legado de Mac OS hacia un
nfasis de estilo de vida digital en las aplicaciones, tal como ocurri con
iLife, iWork y el media center Front Row. Cada versin inclua
modificaciones a la interfaz general, como la apariencia metlica
agregada en la versin 10.3, la barra de ttulos sin rayas en la versin
10.4 y la remocin en la versin 10.5 de la apariencia metlica en favor
de un estilo de ventana unificado en gradiente.
Seguridad
Tanto en la lnea de comandos como en la interfaz grfica los procesos
requieren elevacin para realizar modificaciones. El acceso restringido a
los archivos del sistema es responsable de gran parte de la seguridad.
Sin embargo, el sistema permite modificaciones cuando es requerido. El
ejemplo ms obvio es el software instalador, el cual requiere de una
autorizacin administrativa para instalar software que afecta a ms de
un usuario. La arquitectura de seguridad integrada en el Mac OS X, al
igual que en otros sistemas Unix, es una de las principales razones por
General pgina 25
igual que en otros sistemas Unix, es una de las principales razones por
las que los Mac estn libres de malware.
Aplicaciones
Mac OS X v10.5 introdujo soporte seguro para aplicaciones y procesos
firmados. Las aplicaciones y procesos firmados incluyen una firma
digital, la cual es usada por el sistema para verificar la autenticidad y la
integridad del software y sus recursos. El cdigo es verificado tanto en
el disco como cuando se est ejecutando. De este modo, si alguna parte
del cdigo de la aplicacin o el proceso es inapropiadamente cambiado
cuando est activo, el sistema automticamente lo desactiva. La
autenticacin de cdigo es usado por los llaveros, la aplicacin de
firewall personal, las preferencias de Control Parental y la configuracin
del gestor de clientes para verificar las aplicaciones despus de
modificaciones.
Mac OS X distingue entre los usuarios (user), el administrador de
sistema root (admin) y el superusuario (superuser). El usuario no puede
realizar cambios en el sistema y solo puede instalar software en su
carpeta personal. Las aplicaciones que ejecuten estos usuarios lo harn
con los permisos propios de este tipo de usuario. Los usuarios
administradores tienen ms permisos, aunque no pueden realizar
modificaciones a la configuracin general del sistema, instalar software
o tener acceso a varios directorios del sistema sin autenticarse.
Mac OS X v10.5 Cuentas de usuario
Administrador: un administrador puede crear y eliminar cuentas,
instalar software, modificar los ajustes del sistema y cambiar la
configuracin de otros usuarios.
Estndar: una cuenta de usuario tpica. Un usuario estndar slo
puede instalar software para la cuenta de usuario y no puede
modificar las preferencias de sistema bloqueadas ni crear
cuentas.
Supervisada con controles parentales: una cuenta que tiene
privilegios limitados, gestionados mediante Controles parentales.
Slo compartidos: slo puede acceder a los archivos de una
ubicacin especfica. No puede modificar los archivos del
ordenador ni iniciar sesin en la ventana de inicio de sesin.
Grupo: una cuenta compuesta por los usuarios seleccionados.
No existe una cuenta root que tenga permanentemente los permisos del
superusario, despus de realizar la instalacin del sistema. Aunque hay
un usuario root que est deshabilitado por defecto. Sin embargo, se
han encontrado lagunas que permiten a un usuario administrador
ejecutar software de administracin y tener control total sobre el
sistema.
Cortafuegos
Hasta el OS X 10.4, se utiliz el Cortafuegos orientado a paquetes ipfw
para filtrar el trfico entrante. Desde el OS X 10.5 un cortafuegos para
aplicaciones establece que programas pueden recibir trfico entrante. Se
puede instalar una interfaz para ipfw mediante programas adicionales
como WaterProof o Flying Buttress.
Pruebas iniciales demostraron que el cortafuegos del OS X v10.5
permita el trfico de datos an cuando la opcin Bloquear todas las
conexiones estaba activa. En el OS X 10.5.1 estas vulnerabilidades
fueron corregidas. La leyenda en la interfaz de usuario fue cambiada a
Permitir solo los servicios requeridos.
Las conexiones salientes no pueden ser monitoreadas por los
cortafuegos incluidos en el sistema. Para este propsito se requieren
programas complementarios como Little Snitch o GlowWorm.
Malware
De los troyanos conocidos para OS X en el 2010, solo 2 fueron
General pgina 26
De los troyanos conocidos para OS X en el 2010, solo 2 fueron

calificados como peligrosos. Estos programas se introducen al sistema
mediante engaos o fraudes como lo son la descarga gratuita de una
versin de OS X sin licencia, sitios para adultos, solicitudes de descarga
de cdecs y situaciones similares. No existe evidencia de la existencia de
virus para el OS X. Los antivirus para OS X, sirven para que ste evite la
multiplicacin de virus que fueron escritos para otros sistemas
operativos.
GUIA DE AUDITORIA
Seguridad Fsica
Justificacin: Es muy importante ser consciente que por ms que la
empresa sea la ms segura desde el punto de vista de ataques
externos, Hackers, virus, etc. la seguridad de la misma ser nula si no
se ha previsto como combatir algn desastre natural, intento de robo,
etc.
Objetivos:
Evaluar los mecanismos que se estn utilizando para controlar el
acceso de personal al centro de informtica y salas de servidores.
Verificar que se tenga sealizacin en las reas de informtica, como
rutas de emergencias, ubicacin de extintores, etc.
Evaluar el estado de las UPS que soportan los equipos del rea de
informtica.
Verificar que las instalaciones elctricas estn organizadas
correctamente.
Verificar que se este llevando a cabo una limpieza tanto en los
equipos y servidores como en los centros donde se encuentran estos.
Verificar que la infraestructura fsica de los centros de informtica y
las salas de servidores se encuentren en buen estado.
Verificar que el entorno de los centros de informtica y salas de
servidores tengan un adecuado control en cuando a temperatura,
hmeda, ventilacin, etc.
Cuestionario de control: para verificar que la informacin ac
suministrada sea verdadera se solicitara al encuestado los documentos
que soporten dicha informacin, adems de la encuesta se har una
supervisin la cual nos generara resultados ms reales en cuanto al
estado fsico de la infraestructura.
1. Cuenta la empresa con alguna poltica para controlar el acceso
del personal no autorizado? Si___ no____
2. Cuentan con mecanismo para verificar que las personas que
entran a los centros informticos o centro de servidores si
estn autorizadas? Si____no___
Cuales?__________________________________________________
_________________________________________________________
__________________________________________________
3. Llevan registro de las personas que entran a las los centros
informticos? Si____ no____
En caso tal que no lleven registro por que no lo hacen:
_________________________________________________________
_________________________________________________________
___________________________________________________
4. Utilizan algn tipo de sealizacin en los centros informticos
que indiquen al personal que se debe hacer en caso de alguna
emergencia? SI____no_____
Mencione algunas:
_________________________________________________________
_____________________________________________________
5. Utilizan algn tipo de advertencia visual en los centros
informticos que indiquen al personal que no debe hacer o que
General pgina 27
informticos que indiquen al personal que no debe hacer o que

debe hacer dentro de estas? Si___no____
6. Califique de 0 a 5 los siguientes tems que estn relacionadas al
entorno fsico donde 0 no es el adecuado y 5 si es el adecuado.
Humedad______
Ventilacin_____
Temperatura____
7. Cada cuanto hacen mantenimiento a las UPS?
Cada vez que presentan problemas_____
Cada 6 meses____
De 6 a 12 meses____
No realizan mantenimiento a las UPS____
Otro Cul?___________________________________
8. Tienen algn registro de quien realiza este mantenimiento, el
motivo del mantenimiento, problemas que se encontraron,
etc.? Si____ no___
9. Quin es el encargado de hacerle limpieza a los equipos o a
las salas, cual es su cargo dentro de la empresa?
__________________________________________________
10. Tiene algn registro de cada cuanto hacen este proceso?
Si___no____
Instalacin y configuracin inicial
Justificacin: Durante el proceso de instalacin y configuracin del
sistema operativo se definen los parmetros que guiaran el
funcionamiento y rendimiento de este, dicho proceso debe realizarse
cuidadosamente y se debe garantizar que la configuracin final cumpla
con lo requisitos funcionales y de seguridad del o los sistemas
informticos que soporta.
Objetivos:
Verificar la existencia de polticas y estndares para la instalacin
y configuracin del sistema operativo y evaluarlas.
Evaluar el nmero de particiones que se realizaron durante el
proceso de instalacin y el tamao y distribucin de estas.
Verificar los servicios instalados, cuales se encuentran activos y
cuales arrancan automticamente.
Evaluar la configuracin de opciones de montaje para los
diferentes sistemas de archivos.
Evaluar que paquetes se encuentran instalados en el sistema
operativo.
Verificar y evaluar los parmetros de seguridad configurados.
Evaluar si se ha realizado instalacin por defecto.
Cuestionario de Control:
Mantenimiento y soporte:
Justificacin: despus de un tiempo determinado es necesario realizar
un mantenimiento y un soporte a los sistemas operativos ya que en el
mundo de las tecnologas todo esta en constante crecimiento y por lo
tanto nuestros sistemas operativos van quedando obsoletos.
Objetivos:
Verificar que los proveedores si estn prestando un respectivo
soporte a los sistemas.
Verificar que se tenga planes de mantenimiento tanto lgico como
fsico y que estos planes se cumplan a la medida.
Evaluar si las contrataciones que se tienen con terceros para el
servicio de mantenimiento si se este llevando a cabo como debe
ser.
Verificar que se estn haciendo las actualizaciones pertinentes al
Hardware.
General pgina 28

suministrada sea verdadera se solicitara al encuestado los documentos
que soporten dicha informacin.
1. Los proveedores si estn prestando el correspondiente servicio de
soporte? Si____ no____.
2. En la empresa cuentan con algn plan de mantenimiento o de
soporte? Si____no____
3. Cuentan con algn tipo de contrato con terceros para la
realizacin del mantenimiento? Si ____ no____
4. Los servicios que estos prestan ha sido de gran utilidad?
Si___no____
5. De que forma se enteran de que hay nuevas actualizaciones
disponibles tanto para el hardware como para los sistemas?
_____________________________________________________
_____________________________________________________
__________
6. Las actualizaciones las realizan inmediatamente o que procesos
siguen para realizar este proceso? Si____ no____
7. Tienen algn registro de las actualizaciones que se han hecho a
lo equipos y a los sistemas? Si____ no_____
Seguridad lgica
Deja un comentario
Etiquetas: Linux, Mac Os X, Sistemas operativos Windows/Windows server, Solaris, Unix
Auditoria a Datos, Bases de datos, datawarehouse, minera

de datos, bases de datos de contenido Oracle, SQL,
Microsoft SQL, Mysql
26 nov
INTRODUCCION:
En la actualidad gracias a la masificacin de las computadoras y de las redes de datos como medio
para almacenar, transferir y procesar informacin, vemos con asombro que el nivel de utilizacin de
las mismas se ha incrementado desmesuradamente en los ltimos aos, al grado de convertirse en
un elemento esencial para el funcionamiento de cualquier organizacin.
Debido a esto, la informacin en todas sus formas y estados se ha convertido en un activo de
altsimo valor para cualquier tipo de negocio, por esto la empresa no puede ser indiferente y por lo
tanto, se hace necesario proteger, asegurar y administrar la informacin para garantizar su
integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la ley.
Al revisar los protocolos de seguridad, consistencia y reglas de integridad en cualquier motor de
bases de datos es necesario verificar el ambiente de control establecido en la instalacin de este; en
este contexto se deben tener presente las diferentes caractersticas que pueden establecerse en
este proceso, adems en el manejo de los motores se puede manejar un grado de Seguridad, en el
General pgina 29
este proceso, adems en el manejo de los motores se puede manejar un grado de Seguridad, en el
cual se maneja la exactitud, consistencia y confiabilidad de la informacin; con la privacidad y
confidencialidad de los datos; cada motor de Bases de Datos poseen caractersticas que pueden ser
utilizadas para garantizar la calidad de la informacin almacenada y procesada, todo con el fin de
garantizar la eficiencia y eficacia en el manejo de los datos.
Sin embargo para implementar una auditoria integral a las bases de datos, es necesario tener claro
toda la temtica referente a las bases de datos como tal, partiendo desde los conceptos bsicos,
hasta los conceptos especializados de bases de datos comenzaremos definiendo los conceptos
bsicos los cuales son: datos, base de datos, sistemas Data Warehousing, minera de datos y bases
de datos de contenido.
Datos: los datos son smbolos, nmeros y letras que por si solos no significan nada, pero que
juntos en un repositorio de datos crean una herramienta que ayuda al acceso y bsqueda de
informacin particular para una accin o evento. La informacin es una coleccin de hechos
significativos y pertinentes, para el organismo u organizacin que los percibe. Para ser
significativos, los datos deben constar de smbolos reconocibles, estar completos y expresar
una idea no ambigua.
Base de Datos: las bases de datos son aplicaciones de software que administran, ordenan,
buscan, comunica y maneja toda la informacin referente a una organizacin o negocio en
particular, nace a partir de los computadores lgicos de datos, ya que por la gran cantidad de
informacin que se manejan, podemos accederla y utilizarla en cualquier momento.
Sistemas Data Warehousing: estos sistemas de datos obtienen toda la informacin de las
operaciones de un negocio (herramienta indispensable para la toma de decisiones en especial
la de los procesos productivos), esto se logra accesando a la informacin de forma interactiva
e inmediata dentro de una rea de negocio en particular, permitiendo al usuario o a los
usuarios finales la toma desciones rpidas y veraces con base en la informacin real del mismo
negocio.
Minera de datos: se define como el proceso de extraer informacin vlida, autntica y que
se pueda procesar de las bases de datos de gran tamao., mostrando patrones de bsqueda
mas rpidos y especficos dentro delas bases de datos de orden industrial y empresarial, estos
modelos de minera s de datos permiten a los usuarios desde predecir ventas, determinar
patrones de compras entre un segmento de clientes determinados, hasta incluir secuencias de
consumo de una poblacin en particular. La minera de datos no solo formula preguntas
referentes a las bsquedas de datos, tambin ofrece nuevos modelos de metodologa de
trabajos para las bases de datos.
Bases de datos de contenido: las bases de datos de contenido son plataformas integral de base
de datos para datawarehousing e inteligencia de negocios que combina escalabilidad y
desempeo, anlisis bien integrado y calidad de datos e integridad, todo en una sola
plataforma que se ejecuta en una herramienta de bajo costo y confiable, permitiendo que
mientras un proceso se escribe en una tabla, otros accedan a la misma tabla sin necesidad de
bloqueos, estas bases de datos permiten encontrar una referencia a un dato o grupo de datos
que llevaran a una informacin mayor para el caso de las empresas de orden industrial seria el
acceso a los indicadores.
Cabe anotar que las bases de datos tienen tanto ventaja y desventajas, entre las ventajas tenemos:
Independencia de todos los datos y tratamiento.
Los cambios en los datos no implican cambios en los programas de bases de datos.
Coherencia de resultados.
Reduce redundancia.
Mejora en la disponibilidad de datos.
No hay dueo de datos.
Auditoria para los datos:
Definicin:
La informacin en todas sus formas y estados se ha convertido en un activo de altsimo valor, de tal
forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar
y administrar esta informacin o el conjunto de datos, para garantizar su integridad,
confidencialidad y disponibilidad.
En los ltimos aos se ha incrementado uso de aplicaciones electrnicas que comprenden: correo,
comercio, transacciones, firmas y certificados digitales, comunicaciones seguras, entre otras.
General pgina 30
comercio, transacciones, firmas y certificados digitales, comunicaciones seguras, entre otras.

Por tal motivo, los requerimientos de seguridad son cada vez mayores, por lo cual se han creado La
poltica de seguridad de la informacin de datos, en la que se aplica las tcnicas fundamentales para
preservar la informacin en medio digital y tambin la proteccin del acceso a todos los recursos del
sistema, en virtud de lo anterior, la empresa a travs de la Direccin Informtica , debe adoptar los
mecanismos que le permitan el resguardo, confidencialidad, confiabilidad y oportunidad de su
informacin, para lo cual disear, e implementar los aplicativos necesarios. Igualmente, tendr
como funcin administrar y controlar todos los accesos y privilegios a los sistemas implementados y
futuros, siendo esta dependencia la responsable de definir y supervisar el cumplimiento de las
polticas informticas que todo el personal de la empresa deber cumplir.
Objetivos:
Identificar el manejo que se le a los recursos informticos.
Examinar manejo que se le da al acceso a internet dentro de la organizacin.
Evaluar el manejo ptimo de los perfiles de usuario.
Adecuado manejo de los perfiles de usuario y contraseas para la organizacin.
Evaluacin:
Documentacin de sobre polticas de perfiles de usuario.
Documentacin de manejo de hardware y software.
Documentacin de manejo de internet.
Listado de usuarios con sus roles y privilegios.
Reglamento para usuarios de Sistemas.
Manejo del internet por parte del administrador y de los usuarios.
Planes de contingencia contra ataques.
Medidas de seguridad para la informacin.
Herramientas de Auditoria:
Para el desarrollo de la auditoria a Datos se plantea utilizar como medio para la recopilacin de
informacin:
Anlisis de informacin:
Formato de observacin.
Aplicar auditoria
Se realizara una Investigacin Preliminar con el fin de obtener la informacin necesaria para saber
cmo se maneja los datos y quienes tienen acceso a ellos, adems que polticas existen para su
proteccin y bajo que documentos est regida; abordando en temas como manejo de perfiles,
contraseas, acceso al sistema, el peligro que puede representar internet (hackers, virus,
troyanos,) y el mal manejo que se puede llegar a dar por parte de los usuarios a los recursos
informticos de la empresa.
Luego se aplicaran las herramientas creadas, posteriormente se evaluaran con las tcnicas
planteadas para arrojar los respectivos resultados.
Auditoria para las Bases de Datos:
Definicin:
Para la verificacin de la seguridad, consistencia y reglas de integridad en cualquier motor de bases
de datos es necesario verificar el ambiente de control establecido en la instalacin de este; en este
contexto se deben tener presente las diferentes caractersticas que pueden establecerse en este
proceso, adems en el manejo de los motores se puede manejar un grado de Seguridad, en el cual se
maneja la exactitud, consistencia y confiabilidad de la informacin; con la privacidad y
confidencialidad de los datos; cada motor de Bases de Datos poseen caractersticas que pueden ser
utilizadas para garantizar la calidad de la informacin almacenada y procesada, todo con el fin de
garantizar la eficiencia y eficacia en el manejo de los datos.
Cada organizacin en su almacenamiento de informacin tiene datos crticos, para los cuales se debe
analizar el riesgo de violacin de la seguridad por una persona no autorizada, adems de errores
involuntarios que igual pueden causar inconsistencias o falta de veracidad de la informacin.
Objetivos:
Anlisis de la documentacin existente con respecto a todos los procesos de la Base de Datos.
Verificar la red que accede a la Base de Datos.
Identificar el manejo de los perfiles de usuario para la Base de Datos.
Identificar el manejo que se le da a los datos en la Base de Datos.
Identificar de la arquitectura de red con acceso a la Base de Datos.
Evaluar el Soporte y mantenimiento de la Base de Datos.
General pgina 31
Evaluar el Soporte y mantenimiento de la Base de Datos.

Evaluacin:
Documentacin de las aplicaciones sobre la base de datos.
Polticas y normas del negocio en relacin con las actividades apoyadas con el Sistema de
Bases de Datos.
Modelo Entidad Relacin (MER).
Documentacin de la instalacin del motor de Base de Datos.
Documentacin respaldo y restauracin de la base de datos.
Manejo de datos en la base de datos (tablas, vistas, procedimientos almacenados, triggers,
etc.).
Manejo del motor de la base de datos.
Todas las conexiones clientes a la base de datos incluyendo interfaces de red, direcciones IP,
conexiones LAN y WAN.
Manejo de espacio en disco. Informacin de archivos de logs.
informacin:
Aplicar auditoria
Se realizara una Investigacin Preliminar con el fin de obtener el inventario del sistema de la base de
datos, como es su funcionamiento y bajo que documentos est regida; abordando temas especficos
sobre conocimiento del negocio y del Sistema, la informacin sobre la empresa y su objeto social,
sobre sus polticas y normas. Adems toda la informacin referente al Motor de Bases de Datos.
Auditoria para las Data Warehouse:
Definicin:
Un Data Warehouse es un conjunto de datos integrados orientados a una materia, que varan con el
tiempo y que no son transitorios, los cuales soportan el proceso de toma de decisiones de la
administracin. Est orientada al manejo de grandes volmenes de datos, provenientes de diversas
fuentes, de muy diversos tipos. Estos datos cubren largos perodos de tiempo, lo que trae consigo
que se tengan diferentes esquemas de los datos fuentes. La concentracin de esta informacin est
orientada a su anlisis para apoyar la toma de decisiones oportunas y fundamentadas. Previo a su
utilizacin se debe aplicar procesos de anlisis, seleccin y transferencia de datos seleccionados
desde las fuentes.
Objetivos:
Identificar si se est tomando en cuenta los riesgos de cada elemento del sistema Data
Warehouse.
Identificar si la arquitectura del sistema Data Warehouse corresponde a las necesidades del
negocio.
Evaluar la identificacin de los requerimientos funcionales de informacin, que generen una
ventaja competitiva para la empresa y faciliten la toma de decisiones por parte de la
administracin.
Evaluar si la organizacin cuenta con los recursos necesarios para la implementacin del
sistema Data Warehouse.
Evaluacin:
Herramientas de Consultas y Extraccin de Informacin.
Usuarios involucrados en el Sistema.
Plan de Riesgos.
Sistema Operativo.
Documentacin existen del Sistema Data Warehouse.
Datos Antiguos.
Datos Operacionales.
Extractores de Datos.
Bodega de Datos.
General pgina 32
informacin:
Cuestionario.
Entrevista.
Aplicar auditoria
Auditoria para las minera de datos:
Definicin:
La minera de datos (DM, Data Mining) consiste en la extraccin no trivial de informacin que reside
de manera implcita en los datos. Dicha informacin era previamente desconocida y podr resultar
til para algn proceso. En otras palabras, la minera de datos prepara, sondea y explora los datos
para sacar la informacin oculta en ellos.
Bajo el nombre de minera de datos se engloba todo un conjunto de tcnicas encaminadas a la
extraccin de conocimiento procesable, implcito en las bases de datos. Est fuertemente ligado con
la supervisin de procesos industriales ya que resulta muy til para aprovechar los datos
almacenados en las bases de datos.
Las bases de la minera de datos se encuentran en la inteligencia artificial y en el anlisis estadstico.
Mediante los modelos extrados utilizando tcnicas de minera de datos se aborda la solucin a
problemas de prediccin, clasificacin y segmentacin.
Objetivos:
Evaluar las tcnicas empleadas en la minera de datos.
Evaluar la documentacin presentada.
Identificar el proceso de minera de datos.
Identificar la forma de seleccin del grupo de datos.
Evaluacin:
Criterios de seleccin de datos.
Anlisis aplicados a las propiedades de los datos.
Tcnicas de minera de datos empleadas.
Documentacin existen de minera de datos.
Clasificacin de los datos.
informacin:
Cuestionario
Entrevista.
Aplicar auditoria
Auditoria para oracle:
Definicin:
Oracle es un sistema de gestin de base de datos relacional (o RDBMS por el acrnimo en ingls de
Relational Data Base Management System), desarrollado por Oracle Corporation. Se considera a
Oracle como uno de los sistemas de bases de datos ms completos, destacando:
Soporte de transacciones.
Estabilidad.
General pgina 33
Estabilidad.
Escalabilidad.
Soporte multiplataforma.
Objetivos:
Evaluar el funcionamiento de la Base de Datos ORACLE.
Identificar debilidades.
Analizar funcionamiento de tablas, campos,
Evaluacin:
Consultar Ataques de Fuerza bruta o Diccionario a cuentas de usuario.
Consultar de intentos del exploit AUTH_ALTER_SESSION
Consultar de intentos de iniciar sesiones.
Consultar si la Auditoria est habilitada.
Consultar informacin de los inicios de Sesin
Consultar de tablas eliminadas
Consultar de los logs del Apache.
Determinar si en la BD est activo el modo de operacin en ARCHIVELOG o NONARCHIVELOG.
Si este no est activo, la evidencia de ataque o cambios sern sobrescritos por un nuevo
registro.
Se puede determinar realizando una sentencia SQL a la BD: SELECT VALUE V$PARAMETER
WHERE FROM NAME=archiv_log_start;
Anlisis de los Oracle Data Blocks, para determinar:
Registros eliminados
Localizar bloques asignados a tablas (OBJETOS DE INTERS)
Seguimiento de Objetos creados y eliminados
Localizacin de tablas eliminadas
Localizacin de Funciones eliminadas.
Obtencin del SID de la BD
Aplicar auditoria
Se realizara una Investigacin Preliminar con el fin de obtener la informacin de la base de daos de
Oracle.
Auditoria para IBM:
Definicin:
DB2 (R) Universal Database, es una base de datos universal, es completamente escalable, veloz y
confiable, corre en modo nativo en casi todas las plataformas, como Windows NT (R), Sun Solaris,
HP-UX, AIX(R), OS/400 y OS/2(R).
DB2 UDB es un sistema para administracin de bases de datos relacionales (RDBMS)
multiplataforma, especialmente diseada para ambientes distribuidos, permitiendo que los usuarios
locales compartan informacin con los recursos centrales.
Objetivos:
Evaluar el funcionamiento de la Base de Datos DB2.
Evaluacin:
EVALUACIN
Estructura de base de datos DB2.
Aadir campos a una tabla.
Para realizar esta auditoria se realizara un examen al funcionamiento a la base de datos de la
herramienta revisando los informes, por medio de los siguientes pasos
1. Inicie la sesin como el usuario de Trust Authority (el usuario que instal Trust Authority).
2. Inicie una sesin interactiva de lnea de mandatos de DB2.
3. En la lnea de mandatos de DB2, entre el mandato siguiente para conectar con la base de
datos de auditora:
Connect to nombre_de_su_base_de_datos_de_auditora
4. Consulte la base de datos empleando una de las vistas de Trust Authority del modo siguiente:
General pgina 34
4.
5.
Consulte la base de datos empleando una de las vistas de Trust Authority del modo siguiente:
Para consultar la vista viewvar, entre este mandato:
select * from viewvar
Para consultar la vista viewvar_t, entre este mandato:
select * from viewvar_t
Para filtrar la vista de los informes de auditora, utilice la clusula where SQL. Por ejemplo,
para consultar informes para un determinado intervalo de fechas, entre el mandato siguiente:
select * from viewar where sourcetime between 1999-07-01- 8.00.00 and
1999-07-02-08.00.00
Aplicar auditoria
Se realizara una Investigacin Preliminar con el fin de obtener la informacin de la base de daos de
DB2.
Identificar desviaciones y elaborar borrador de informe
Presentar desviaciones a discusin
Elaborar borrador final de desviaciones.
Presentar el informe de auditora.
Auditoria para MySQL
Definicin:
MySQL es un sistema de gestin de base de datos relacional, multihilo y multiusuario con ms de
seis millones de instalaciones.
Lenguajes de programacin
Existen varias APIs que permiten, a aplicaciones escritas en diversos lenguajes de programacin,
acceder a las bases de datos MySQL, incluyendo C, C++, C#, Pascal, Delphi (via dbExpress), Eiffel,
Smalltalk, Java (con una implementacin nativa del driver de Java), entre otros.
Objetivos:
Evaluar el funcionamiento de la Base de Datos MySQL.
Evaluacin:
Consultar Ataques de Fuerza bruta o Diccionario a cuentas de usuario.
Consultar de intentos del exploit AUTH_ALTER_SESSION
Consultar de intentos de iniciar sesiones.
Consultar si la Auditoria est habilitada.
Consultar informacin de los inicios de Sesin
Consultar de tablas eliminadas
Consultar de los logs del Apache.
Para el desarrollo de la auditoria a Bases de Datos MySQL se plantea utilizar como medio para
la recopilacin de informacin, Verificacin.
Para el anlisis y la evolucin de la informacin recolectada se utilizaran Guas de evaluacin.
MySQL ofrece niveles de acceso y permisos, que incluyen las operaciones CRUD y las vistas. Es
posible combinar criterios de acceso y as restringir los permisos operativos sobre algunas
tablas en particular. Otro concepto a considerar ser usar los procedimientos almacenados y/o
disparadores en las tablas. Los disparadores por ejemplo son ideales para crear mecanismos
de auditora sobre operaciones no autorizadas en tablas especficas. El lenguaje de
programacin es importante tambin. Sin importar si se trata de lenguajes de scripting en
servidor como (PHP,RoR,Python, etc) o aplicaciones de escritorio, siempre la combinacin del
lenguaje de programacin con las consultas SQL necesarias te permitirn en momentos
determinados crear logs de auditora que hagan volcados sobre ficheros o tablas en bases de
datos acerca de las operaciones de los usuarios. Y la ultima opcin para conseguir el
monitoreo es con algunas herramientas de Software, como Monyog, que es un monitor de
estado para servidores mysql, entre otras opciones mide los riesgos e intentos de hackeo,
problemas de seguridad y privilegios excesivos, entre otros. La versin comercial de MySQL
ofrece unos completos sistemas de monitoreo de carga y acceso. Existen tambin monitores
de servicios de red, open source que pueden tener complementos para monitoreo de bases de
datos como Nagios
General pgina 35
datos como Nagios

Aplicar auditoria
Se realizara una Investigacin Preliminar con el fin de obtener la informacin de la base de datos de
Oracle.
Deja un comentario
Etiquetas: Auditoria a Datos, Bases de datos, bases de datos de contenido Oracle, datawarehouse,
Microsoft SQL, minera de datos, Mysql, SQL
Clase 17 -Modelos de madurez y Navegacin por Cobit

26 nov
NIVELES DE MADUREZ
0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no
ha reconocido siquiera que existe un problema a resolver.
1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren
ser resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc
que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la
administracin es desorganizado.
2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos
similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o
comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo.
Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los
errores son muy probables.
3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido
a travs de entrenamiento. Sin embargo, se deja que el individuo decida utilizar
estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en s
no son sofisticados pero formalizan las prcticas existentes.
4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar
medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo
constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas
de una manera limitada o fragmentada.
5 Optimizado. Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los
resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de
forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la
calidad y la efectividad, haciendo que la empresa se adapte de manera rpida.
NAVEGACIN POR COBIT
General pgina 36
Deja un comentario
Publicado por reinel1700622819 en 26 noviembre, 2014 en APUNTES DE CLASE, APUNTES DE
CLASE - COBIT
Etiquetas: Modelos de madurez, Navegacin por Cobit
Exposicin Auditorias Especificas

20 nov
BCP
BCP(Planificacion de la continuidad del negocio) es un plan de procedimientos alternativos a la

forma tradicional de operar de la empresa y es una herramienta que ayuda a que los procesos que
se consideran crticos para la organizacin continen funcionando en una situacin extraordinaria, a
pesar de una situacin incontrolable en el entorno.
Un plan de continuidad del negocio, se enfoca en sostener las funciones del negocio de una entidad
durante y despus de una interrupcin a los procesos crticos del negocio.
Caractersticas y ciclo de vida de BCP
Claridad
Fcil entendimiento
General pgina 37
Fcil entendimiento
Concreto
Eficiente
Integral
Continuo
Plan de Auditoria en BCP
Con el fin de llevar a cabo la auditoria especfica referente a BCP, se ejecutara el siguiente programa:
1. Investigacin Preliminar.
2. Identificacin y Agrupacin de Riesgos
3. Evaluacin de la Continuidad en la empresa objeto de la Auditora
4. Diseo de Pruebas de Auditora
5. Ejecutar Pruebas de Auditora
6. Elaboracin de Informe de Auditora
7. Seguimiento.
Data Center
Cuando se habla del CPD, Centro de Procesos de Datos o Data Center estamos refirindonos a la
ubicacin donde se concentran todos los recursos necesarios para el procesamiento de informacin
de una organizacin.
La integracin de las infraestructuras tecnolgicas en un Data Center, permite automatizar la gestin
de los recursos y convertir unas infraestructuras caticas en algo gestionable y altamente
automatizado con el consiguiente ahorro de recursos econmicos.
Plan de Auditoria en DATA CENTER
Con el fin de llevar a cabo la auditoria especfica referente a Data Center, se ejecutara el siguiente
programa:
2. Identificacin y Agrupacin de Riesgos
3. Evaluacin de la Seguridad en la empresa objeto de la Auditora
7. Seguimiento.
SAP
SAP(Sistemas, Aplicaciones y Productos) comercializa un conjunto de aplicaciones de software para

General pgina 38
SAP(Sistemas, Aplicaciones y Productos) comercializa un conjunto de aplicaciones de software para

soluciones integradas de negocios, entre ellas mySAP Business Suite, que provee soluciones
escalables que permiten mejorar continuamente, con ms de 1.000 procesos de negocio
consideradas las mejores prcticas empresariales y adaptables por mdulos de cada aspecto de la
administracin empresarial.
Podemos decir entonces que la principal razn por la que SAP ha tenido tanto xito es porque su
solucin empresarial se trata de un paquete de software de aplicaciones estndar que puede
configurarse en mltiples reas de negocio y que se adapta a necesidades especficas de cada
empresa.
SAP ha liderado el mercado de los sistemas de informacin gerencial, especialmente el nicho de los
ERP.
Plan de Auditoria en SAP
Con el fin de llevar a cabo la auditoria especfica referente a SAP, se ejecutara el siguiente programa:
2. Identificacin y Agrupacin de Sistemas orientados a SAP
3. Evaluacin de la Integridad en la empresa objeto de la Auditora
7. Seguimiento.
Deja un comentario
Etiquetas: Auditorias Especificas, BCP, Data Center y SAP
Auditorias Especificas- BCP, Data Center y SAP

20 nov
En los siguientes documentos se encuentra toda la informacin de la auditoria especifica: BCP, Data
Center y SAP
Auditoria820142
AUDITORIAS ESPECIFICAS
T01business_continuity_planning
T01IT ContinuityPlan_Prog_20Jan09_Research
T12SAP_ERP_Audit-Assurance_Programs_and_ICQs_8-7-09
T12SAPAuditProgramsandICQs
T30Physical Security Data Center ICQ
Deja un comentario
Etiquetas: Auditorias Especificas, BCP, Data Center, SAP

Entradas ms antiguas
Buscar
Auditoria
Blog de la asignatura de Auditoria
Galeria
Categoras
ACTIVIDAD 1- Caso Enron
ACTIVIDAD 2 Caso Nomina UCaldas
ACTIVIDAD 3-Estndar de auditoria y aseguramiento en TI
ACTIVIDAD 4 Caso Universidad tradicional
APUNTES DE CLASE
APUNTES DE CLASE AUDITORIA
APUNTES DE CLASE COBIT
APUNTES DE CLASE EMPRESA
General pgina 39
APUNTES DE CLASE EMPRESA

APUNTES DE CLASE PESI/PETI
Auditorias Cruzadas
Auditorias Especificas
Entradas recientes
AMBIENTES ESPECIALES: SISTEMAS DE RECONOCIMIENTOS BIOMTRICOS RFID
COMPUTACIN/TELEFONA MVIL COMPUTACIN UBICUA CLOUD COMPUTING
Seguridad fsica y lgica, gestin de identidad, cybercrimen
Sistemas operativos Windows/Windows server, Solaris, Unix, Linux, Mac Os X
Auditoria a Datos, Bases de datos, datawarehouse, minera de datos, bases de datos de
contenido Oracle, SQL, Microsoft SQL, Mysql
Clase 17 -Modelos de madurez y Navegacin por Cobit
Archivos
noviembre 2014
octubre 2014
septiembre 2014
Calendario
L
nov
1
2
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
febrero 2015
Estadsticas del blog
179 visitas
Comentarios recientes
Etiquetas
Administrar la inversin en TI ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA Auditorias Cruzadas Auditorias
Especificas BCP
Cobit 4.1 Cobit 5
Definir un Plan Estratgico de TI EVALUAR Y ADMINISTRAR LOS
RIESGOS INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
Blog de WordPress.com. El tema Choco.

Artculos (RSS) y Comentarios (RSS)
BLOG AUDITORIA Reinel Tabares Soto
Blog de WordPress.com. El tema Choco.
Seguir
Seguir BLOG AUDITORIA - Reinel Tabares Soto

Recibe cada nueva publicacin en tu buzn de correo electrnico.
Construye un sitio web con WordPress.com
Insertado desde <https://reinel1700622819.wordpress.com/>
General pgina 40

Blog Auditoria - Reinel Tabares Soto

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Blog Auditoria - Reinel Tabares Soto

Transféré par

Droits d'auteur :

Formats disponibles

BLOG AUDITORIA - Reinel Tabares Soto

jueves, 19 de febrero de 2015

BLOG AUDITORIA Reinel Tabares Soto

AMBIENTES ESPECIALES: SISTEMAS DE RECONOCIMIENTOS

La Biometra es el estudio de mtodos automticos para el reconocimiento de seres humanos

comprobar el correo electrnico, responder a solicitudes urgentes o fijar reuniones.

Capacidad de almacenamiento ilimitada

gestionados en las diferentes unidades organizativas de la Administracin.

Deutsche Telekom, operadora alemana.

Seguridad fsica y lgica, gestin de identidad, cybercrimen

Actualmente existen carreras que solamente dedican su labor a garantizar la seguridad de la

10. los planes de tratamiento son implementados por la empresa?

Sistemas operativos Windows/Windows server, Solaris,

contra Microsoft basado en la infraccin de derechos de autor de Apple

requisitos de estado y seguridad antes de permitir el acceso de los

virus o especificar direcciones que contengan contenido confidencial o

inscripcin de certificados simple (SCEP), un protocolo de

servidor, se configuran servidores especficos mediante directivas

por vez primera, en 1970, se habla oficialmente del sistema operativo

comenz a utilizar el ncleo Linux junto a sus programas.

continuacin), pasando por los sistemas gratuitos (Linux, FreeBSD),

Caractersticas Solaris 10:

directamente dentro de la base del sistema operativo. Gracias a esta

De los troyanos conocidos para OS X en el 2010, solo 2 fueron

informticos que indiquen al personal que no debe hacer o que

Cuestionario de control: para verificar que la informacin ac

Auditoria a Datos, Bases de datos, datawarehouse, minera

comercio, transacciones, firmas y certificados digitales, comunicaciones seguras, entre otras.

Evaluar el Soporte y mantenimiento de la Base de Datos.

datos como Nagios

Clase 17 -Modelos de madurez y Navegacin por Cobit

Exposicin Auditorias Especificas

BCP(Planificacion de la continuidad del negocio) es un plan de procedimientos alternativos a la

SAP(Sistemas, Aplicaciones y Productos) comercializa un conjunto de aplicaciones de software para

SAP(Sistemas, Aplicaciones y Productos) comercializa un conjunto de aplicaciones de software para

Auditorias Especificas- BCP, Data Center y SAP

Etiquetas: Auditorias Especificas, BCP, Data Center, SAP

APUNTES DE CLASE EMPRESA

Cobit 4.1 Cobit 5

Definir un Plan Estratgico de TI EVALUAR Y ADMINISTRAR LOS

RIESGOS INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS

Blog de WordPress.com. El tema Choco.

Seguir BLOG AUDITORIA - Reinel Tabares Soto

Vous aimerez peut-être aussi