Capitulo N° 6

Control, Seguridad y Auditoria

Versión: 0

Materia: Tecnología de la Información

Código: 275

Cátedra: Guillermo Tricoci

Universidad de Buenos Aires

Facultad de Ciencias Económicas

Autores: Alex Flores, Ana Vidal

Revisores:
Contenido
CAPITULO 6: “Control, Seguridad y Auditoria” .................................................... 3
Introducción .......................................................................................... 3
Objetivos de la Seguridad informática ........................................................... 3
RIESGOS .................................................................................................. 3
Amenaza: ........................................................................................... 4
Vulnerabilidades: ................................................................................. 4
Origen de las amenazas: ......................................................................... 4
Tipos de amenazas ................................................................................ 4
Ejemplos de Amenazas y vulnerabilidades.......................................................... 6
Ejemplo 1 .......................................................................................... 6
Ejemplo 2 .......................................................................................... 6
Ejemplo 3 .......................................................................................... 6
Ejemplo 4 .......................................................................................... 7
Ejemplo 5 .......................................................................................... 7
Medición del Riesgo .................................................................................... 7
CONTROLES .............................................................................................. 9
TIPOS DE CONTROLES ............................................................................... 9
Controles Generales: ............................................................................. 9
Controles de Aplicación: ......................................................................... 9
Controles generales ................................................................................ 10
Controles de Aplicación ............................................................................ 10
¿Qué medidas implementar para las amenazas existentes? .................................. 11
Ejemplo de medidas Activas .................................................................... 11
Ejemplo de medidas Pasivas .................................................................... 11
Auditoría de Sistemas ................................................................................. 13
REVISION DE PROCESOS DE TI ........................................................................ 14
Bibliografia ...........................................................¡Error! Marcador no definido.

Página | 2
CAPITULO 6: “Control, Seguridad y
Auditoria”
Introducción
Hoy en día la informática tiene un alto grado de integración con nuestra vida tanto en lo
cotidiano, doméstico, como en lo organizacional, es por ello que cualquier incidente nos
puede resultar catastrófico. Esto sumado a la cantidad de usuarios mal intencionados que
intentan tener acceso a los datos de nuestros sistemas, nos hace preguntar. ¿Qué tan
seguros son nuestros sistemas de Información?
Es por ello que surge un nuevo concepto, la seguridad Informática.

La Seguridad Informática es un conjunto de

medidas preventivas y detectivas destinadas
a preservar la Integridad, Disponibilidad y
Confidencialidad de la INFORMACION y
RECURSOS INFORMATICOS

Objetivos de la Seguridad
informática

 Confidencialidad: La información
almacenada en los recursos informáticos solo debe
ser accedida por las personas autorizadas.

 Disponibilidad: La información debe estar

disponible cuando la requiera el usuario de la
misma.

 Integridad: La información almacenada en los sistemas de información debe

permanecer inalterable en el mismo, salvo que sea modificada por los usuarios
autorizados.

RIESGOS
Antes de poder abordar una definición de riesgos debemos tener en claro 2 conceptos:

Página | 3
Amenaza: evento o acción que afecte el normal funcionamiento de los sistemas y/o
procesos.
Vulnerabilidades: debilidades inherentes a los sistemas y procesos bajo análisis que
facilitarían a un atacante violar la confidencialidad, integridad y disponibilidad de los
sistemas tantos los datos incluidos en los mismos como los programas que dan soporte y
uso de ellos.

Los Riesgos son amenazas que de

materializarse a través de la explotación de
las vulnerabilidades, pueden atentar contra
la seguridad de los recursos e información de
las Organizaciones.

Ante la falta de control de las vulnerabilidades se acrecientan las posibilidades de que las
amenazas se materialicen.

Origen de las amenazas:

Factores técnicos.
Factores de organización.
Factores del entorno.
Combinados con malas decisiones gerenciales o la falta de decisión.

Tipos de amenazas
Físicas

Son las relacionadas con los daños o errores sobre el hardware que por su origen podemos
clasificarlas de la siguiente forma:

1. Desastres naturales, incendios accidentales, tormentas e inundaciones.

2. Amenazas ocasionadas por el hombre.
3. Disturbios, sabotajes internos y externos deliberados.
4. Fallas en los equipos físicos (hardware).
Lógicas:
Las amenazas lógicas están relacionadas con fallas en los software o aplicativos, y pueden
darse a causa de:
1. Software incorrecto.
2. Mal uso de herramientas de seguridad.
3. Puertas traseras, fallos en las conexiones que permiten obtener control remoto de
un equipo.
4. Virus, pueden destruir, alterar información, disminuir las performance del sistema
de cómputo hasta inutilizarlo.

Página | 4
 5. Bugs, deficiencias en la construcción de software, permiten mediante su
explotación interrumpir el funcionamiento del mismo inhabilitándolo temporal o
permanentemente.
6. Gusanos. Programas que pueden ejecutarse y propagarse a través de redes de
datos.
7. Troyanos, son ejecuciones de programas encubiertos con otros software que
permiten ocultar la presencia del atacante y/o para asegurase la entrada en caso
de ser descubierto.
8. Y otras como Spoofing, spam, phishing, etc

En los siguientes links podemos ver en tiempo real distintas técnicas utilizadas por hackers
(Personas con capacidad de poder explorar vulnerabilidades de los sistemas con fines de
lucro, daño, protesta o desafío).

http://map.norsecorp.com/

https://cybermap.kaspersky.com/

Página | 5
Ejemplos de Amenazas y vulnerabilidades
Ejemplo 1
 Amenaza:
Desastre natural o siniestro que dañen o destruyan el
Centro de Datos o los recursos informáticos en forma
parcial o total.
 Vulnerabilidad:
I. Centro de Datos ubicado en zonas inundables
sin recaudos que prevengan el daño de recursos
informáticos.
II. Centro de datos construido sin materiales
ignífugos que prevengan o detengan la propagación
del fuego en caso de incendios.
III. Falta de mecanismos de detección y extinción
de incendios o con inadecuado funcionamiento.
IV. Personal de administración y mantenimiento del centro de datos que no está
debidamente capacitado para realizar sus tareas.
V. Mala ubicación del centro de datos dentro de la organización, por ejemplo cercano
a las calderas.
VI. Falta de plan de contingencia que ante siniestros establezcan un adecuado
procedimiento para salvaguardar los recursos informáticos y permitir la
continuidad de operación del Centro de Datos.

Ejemplo 2
 Amenaza:
Manipulación inadecuada de datos.
 Vulnerabilidad:
a. Mecanismo de protección de datos críticos inadecuados.
b. Utilización de datos de entornos de datos productivos para realización de
pruebas
i. Cargas y/o actualización masiva de datos ejecutadas en forma
errónea o no autorizada.
c. Falta de procedimiento que
aseguren la confidencialidad o divulgación de los
datos almacenados.
d. Políticas de backups inadecuadas,
prioridad de realización (oportunidad), tipo de
backup (completo, diferencial y incremental),
disponibilidad y ubicación de los resguardos, y
comprobación de los resguardos.

Ejemplo 3
 Amenaza:
Robo o divulgación de credenciales.
 Vulnerabilidades:
I. Falta de políticas de contraseñas de usuario, exigencia de usar contraseña,
durabilidad, renovación, revocación y complejidad de la misma.
II. Existencia de cuentas de usuario anónimas y/o genéricas

Página | 6
 III. Contraseñas almacenadas en sitios inseguros.
IV. Mecanismos de autenticación inexistentes o
implementados inadecuadamente.
V. Falta de concientización de usuarios sobre
aspectos de seguridad en el uso/
conservación de sus contraseñas.
VI. El personal que administra la seguridad no
está debidamente capacitado para
desarrollar sus tareas.
VII. Contraseñas entregadas a personas que no
resultan ser responsables de la cuenta de
usuario

Ejemplo 4
 Amenaza:
Nuevos desarrollos y/o cambios sobre el sistema inadecuados.
 Vulnerabilidad:
I. Inoportuna detección de fallas en los desarrollos efectuados.
II. Los desarrollos no se ajustan con lo requerido por el negocio.
III. Los desarrollos y/o las pruebas son efectuadas sobre el entorno de
Producción.
IV. Implementación de cambios y/o nuevos desarrollos que no fueron testeados
ni aprobados.
V. Imposibilidad de volver a la versión anterior de la aplicación tras una
implementación errónea.

Ejemplo 5
 Amenaza:
Intrusión de virus y/o software malicioso
 Vulnerabilidades:
I. Ausencia de software antivirus.
II. Actualizaciones del software antivirus inadecuadas o inoportunas.
III. Redundancia de hardware de contingencia inexistente o implementado
inadecuadamente.
IV. Errores y/o demoras considerables durante la restauración de los servicios
informáticos.

Medición del Riesgo

El riesgo es la probabilidad de que se materialice una amenaza. Para determinar cuál es
esa probabilidad en cada caso, el análisis de riesgos supone:
1. Determinar las amenazas a las cuales están expuestas los sistemas.
2. Cuantificar su probabilidad de ocurrencia.
3. Cuantificar el riesgo económico involucrado ($/u$s) si la amenaza se concreta.

En el siguiente cuadro podemos analizar cuál es el nivel de riesgo correspondiente a cada

amenaza bajo análisis

Página | 7
 Impacto

Probabilidad

Ejemplo:
Tenemos un Data Center de una cadena de supermercados que al momento de su
construcción se encontraba ubicado en una zona sin historial de fallas de eléctricas y el
mismo se construyó con sistemas redundantes de alimentación, que ante un corte de
eléctrico permitía funcionar durante aproximadamente 2 horas más. Además este Data
Center albergaría todos los sistemas de la organización incluyendo los de facturación.
Haciendo un breve relevamiento hoy en día detectamos que debido deficiencias en la red
de infraestructura eléctrica pública, la zona donde está ubicado el Data Center se
encuentra expuesto, en épocas estivales, a cortes eléctricos de más 24 horas. Y como
consecuencia se genera la imposibilidad de la cadena de supermercado de facturar,
generando importantes pérdidas de dinero y descontento por parte de los clientes antes
estas situaciones.
Al hacer un análisis podemos determinar que la probabilidad de ocurrencia de que esta
amenaza se materialice es alta y el impacto económico también es alto, debido a la
pérdida económica generada por la imposibilidad de facturar. Con lo cual nuestro nivel de
riesgo es alto para la amenaza asociada:

RIESGO
Impacto ALTO

Probabilidad

Página | 8
CONTROLES
Los controles son Acciones/Medidas (preventivas o detectivas) destinadas a minimizar el
impacto que puede tener un riesgo o reducir la probabilidad de ocurrencia del mismo.
También se los puede definir como un conjunto de métodos, políticas y procedimientos
organizacionales que resguardan los activos de la organización, hacen exactos y fiables a
los sistemas de información, y cumplen con las normas gerenciales.
Los controles los podemos clasificar por su naturaleza en manuales y automáticos. Los
controles manuales son ejecutados por el personal informático sin el uso de herramientas
informáticas. Y los controles automáticos son los incorporados dentro del software,
pueden ser comunicación, operación, aplicación, base datos, etc.
Por su oportunidad podemos clasificar los controles en preventivos, destinados a disminuir
la probabilidad de ocurrencia del evento o anularlo y los controles detectivos, se diseñan e
implementan para descubrir un evento, irregularidad o un resultado no previsto. Alertan y
permiten que otros tomen medidas inmediatas.

Controles Preventivos Controles Detectivos

TIPOS DE CONTROLES
Controles Generales: Controles amplios que monitorean el funcionamiento eficaz de los
procedimientos programados en todas las Áreas de aplicación.
Los controles generales son aquellos que están incrustados en los procesos y servicios de
TI. Algunos ejemplos son: Desarrollo de sistemas, Administración de cambios, Seguridad,
etc.

Controles de Aplicación: Controles específicos y exclusivos de cada una de las

aplicaciones computarizadas.

Página | 9
Los controles incluidos en las aplicaciones del proceso de negocios, se conocen por lo
general, como controles de aplicación. Ejemplos: Integridad (Completitud), Precisión,
Validez, Autorización, Segregación de funciones, etc.

Controles generales

Controles Generales Descripción

Control de implementación Audita el proceso de desarrollo de sistemas para
asegurar que siga las pautas de calidad para el
desarrollo, conversiones y pruebas.
Control de software Monitorea el uso del software de los sistemas y evita el
acceso no autorizado los programas de aplicación y al
software de sistema.
Control de Hardware Cuida que el equipo esté protegido físicamente contra
incendios y temperatura o humedad extremos. Debe
garantizar la continuidad operativa ante desastres,
implementando respaldos tanto de hardware como de
datos.
Control de Operaciones de Ejercido sobre la labor del centro de cómputos.
Computación Garantiza que los procedimientos programados se
apliquen de forma congruente y correcta al
almacenamiento y procesamiento de datos.
Control de Seguridad de los Garantiza que los archivos de datos de negocios no
datos sufran accesos no autorizados, alteraciones o
destrucción.
Control Administrativo Normas, reglas, procedimientos y disciplinas de control
formalizados.
Asegura que los controles generales y de aplicación de la
organización se apliquen y cumplan debidamente.

Controles de Aplicación

Controles de Aplicación Descripción

Control de Entrada Verifica la exactitud e integridad de los datos cuando
entran en el sistema. Son controles para evitar errores
en las entradas, conversiones y/o ediciones de datos. Es
posible establecer totales de control.
Control de Procesamiento Determina si los datos están completos y son exactos
durante la actualización.
Se pueden establecer totales de control de serie, el
cotejo por computadora y verificaciones de edición.
Control de Salida Monitorea que los resultados del procesamiento sean
correctos, estén completos y se distribuyan
debidamente.

Página | 10
¿Qué medidas implementar para las amenazas existentes?

Podemos clasificar estas medidas en activas o pasivas. Son medidas activas todas
aquellas que se toman para evitar, anular o reducir los riesgo sobre un sistema. Y
son medidas pasivas aquellas que se toman para estar preparado si alguna amenaza
llegara a materializarse.
Ejemplo de medidas Activas
 Control de Acceso Físico a los distintos sectores de la organización o áreas de
sistemas, mediante cámaras de seguridad, lectores de tarjetas de acceso o
técnicas biométricas como lectores de huellas, si bien son medidas más costosas y
complejas, también podemos tener controles mediante el registro y control de
acceso a distintas áreas por parte de personal correspondiente a la función.

 Control de Acceso a los datos. Podemos enumerar:

- Firewall, sistema que permite

controlar el tráfico de red dentro de la
organización y la organización con el
mundo exterior permitiendo solo el
tráfico autorizado.

- Políticas de contraseñas que

establezcan reglas de no divulgación, complejidad y de renovación.

- Políticas de perfiles de usuario que incluyan la identificación y autorización

de acceso a los recursos.

- VPN, trafico seguro de la organización utilizando canales de comunicación

púbicos.

 Programas Antivirus. Detección de amenaza de software externas para proteger

los medios de almacenamientos.

 Plan de Adquisición y desarrollo software bajo estricto control de estándares de

calidad requeridos para cada tipo de organización.

 Plan de Adquisición de hardware bajo estricto control de calidad para las

necesidades de la organización.

Ejemplo de medidas Pasivas

 Plan de Contingencias o Desastres. Es un conjunto de disposiciones que contempla

todas las medidas de recuperación y actuación del personal afectado ante una
emergencia. Estas tareas requieren una identificación de funciones críticas y
vitales de los sistemas de la organización que se necesitan recuperar

Página | 11
 inmediatamente tras la ocurrencia de estos eventos para mantener la operatoria de
la organización.

 Política de Backup sobre equipos que incluya:

o Que se debe hacer backup (datos o sistemas) ordenados por criticidad
o Periodicidad de los backup (diaria, semanal, mensual, etc)
o Tipo de backup
 Completo: copia completa de todos los datos o sistema, la primer
copia siempre debe ser completa.
 Incremental: se copian solo los archivos modificados o creados desde
la última copia completa o incremental.
 Diferencial se copian todos los archivos creados o modificados desde
la última copia completa.
o Cantidad de copias y ubicación de los resguardos
o Entorno y prueba de los resguardos generados.

 Criptografía de mensajes y archivos (cifrado, firma digital y certificado digital).

Evita que el ladrón pueda utilizar la información extraída de los sistemas.

 Grupos electrógenos. Permite que ante los cortes eléctricos, la organización

pueda continuar su operación normal y en caso de cortes prolongados, poder
apagar todos los sistemas correctamente minimizando los errores físicos y lógicos
que puede ocurrir sobre los recursos informáticos.

 UPS, sistema de alimentación ininterrumpida que minimiza los efectos sobre los
recursos informáticos ante caídas de los sistemas eléctricos permitiendo a la
organización soportar pequeños cortes y en caso de cortes prolongados detener en
forma correcta los recursos informáticos minimizando el impacto sobre los mismos.
 Estabilizadores de tensión. Regulan la tensión eléctrica para que la oscilación de
la misma no dañe físicamente los equipos.

 Contratación de seguros. Permiten ante daños en los equipos poder recuperar el

costo del mismo y facilitar la recuperación de los recursos informáticos, sobre todo
en los centros de datos debido a los altos costos de equipamiento.

 Log de transacciones o Pistas de Auditoria. Se utilizan para detectar irregularidad

en el acceso a los sistemas, datos y/o fallas en los sistemas.

 Sistemas tolerantes a fallos. Son sistemas que permiten, ante las distintas fallas
de hardware, contener los eventos sobre el hardware sin interrumpir el normal
funcionamiento de los sistemas de información. Estos sistemas se basan en la
redundancia de hardware.

1. Fuentes de alimentación. Se duplican las fuentes de alimentación para

que ante la falla o mantenimiento de una de ellas se mantenga la
continuidad de la alimentación eléctrica sobre el equipo.
2. Redundant Arrays of Inexpensive Disks (Matrices redundantes de discos
independientes de bajo costo) son un conjunto de discos programados
para almacenar de manera redundante datos y proporcionar un mayor

Página | 12
 grado de confiabilidad. Los niveles
de RAID más utilizados son 1, 5,6,
10, 50, etc.
3. Redundancia en interfaz de
comunicaciones.
4. Servidores espejados. Duplicación
de recursos.

Auditoría de Sistemas
Antes de poder definir que es la auditoría de sistemas debemos tener en claro el concepto
de Control Interno.

El control interno es el conjunto de tareas y funciones inherentes a la propia actividad de

la organización que tratan de verificar que los procesos se realizan según lo establecido (la
realización de los controles son parte de las tareas del proceso).

En cambio la Auditoría de Sistemas es el conjunto de acciones puntuales y ajenas a los

procesos auditados, cuyo objetivo es identificar y probar el funcionamiento del esquema
de control interno de las Organizaciones, incluyendo la revisión del cumplimiento de
determinadas normativas y objetivos asociados.
La Auditoría de Sistemas se ejerce sobre los procesos de tecnología informática (controles
generales de TI) y/o sobre los sistemas de información (controles aplicativos).

Las tareas de la Auditoría son:

 Entender los procesos de sistemas que se llevan a cabo en la
Organización, asociar las amenazas y vulnerabilidades a las que se
encuentran expuestos estos procesos y los sistemas informáticos, e
identificar los controles que actualmente posee y/o debería poseer la
Organización para mitigarlos.

Página | 13
  Analizar exhaustivamente el cumplimiento de todos los controles que
rigen sobre los procesos de sistemas (controles generales de TI) y/ o
sobre los sistemas de información (controles aplicativos).
 Enumerar las deficiencias y/o ausencias de control detectadas.
 Estimar la probabilidad de ocurrencia de las vulnerabilidades no
controladas adecuadamente.
 Evaluar el impacto en las finanzas y en la Organización de dichas
vulnerabilidades.
 Proponer tareas de control a implementar y/o mejoras en los controles
que se efectúan.

Las técnicas posibles de utilizar en la auditoría son:

 Entrevistas y revisión de documentación.
 Control del flujo completo de transacciones.
 Utilización de herramientas de auditoría automatizadas.
Normas aplicables de auditoría

 Financiera: Banco Central de la República Argentina

 Seguros: Superintendencia de Seguros de la Nación SSN
 Comercios e Industrias: Normas ISO
 SEC, CNV, Mejores prácticas COSO, COBIT, ITIL. Normas Corporativas.

REVISION DE PROCESOS DE TI

Cuando revisamos los procesos de TI es importante entender el propósito, el

objetivo del proceso y cómo está relacionado con la estrategia de negocios de la
organización.
Una vez que tenemos en claro cuál es el objetivo del proceso de negocios debemos
identificar y evaluar todos riesgos asociados al proceso bajo análisis que puedan
impedir que el objetivo de proceso no se cumpliese. Una vez identificados todos

Página | 14
los riesgos, evaluamos los controles que son necesarios aplicar para poder mitigar
los riesgos.
Una vez implementados estos controles debemos evaluarlos para poder determinar
su correcta ejecución o si es necesario ejecutar una revisión del mismo.
A continuación enumeramos algunos de los controles TI que podemos realizar

Página | 15
Página | 16
Página | 17
Bibliografía
 Cecyt Federación Argentina de Consejos Profesionales de Ciencias Económicas.
Informe 6.
 Cansler Leopoldo. Auditoría en contextos computarizados. Guía práctica
profesional
 Saroka, Raúl. .Sistemas de información en la era digital. Fundación OSDE 2002.
Módulo II. Unidad 3
 Ley 25506 de Firma Digital.
 Laudon Kenneth C. y Laudon Jane P.. Sistemas de Información Gerencial.
Administración de la Empresa Digital. 10ma Edición. Editorial Pearson Prentice
Hall. 2008. Capítulo 8
 O’Brien James A., Marakas George M.. Sistemas de Información Gerencial. 7ma
Edición.
 Editorial McGraw-Hill. 2006. Capítulo 13.

Página | 18