UNIVERSIDAD NACIONAL AUTNOMA DE HONDURAS

CENTRO UNIVERSITARIO REGIONAL DEL NORTE

ASIGNATURA: AUDITORIA EN SISTEMAS DE

INFORMACION I

CATEDRTICO: LIC. FREDDY ORTIZ

TEMA: AUDITORIA DE LA SEGURIDAD FISICA Y

LOGICA

SECCIN: 21:01

LUGAR: SAN PEDRO SULA, CORTES

FECHA: 22 DE AGOSTO DE 2005

 INTRODUCCION
El administrador de la seguridad en un entorno de proceso electrnico de
datos, es el responsable de los aspectos de seguridad fsica que afectan a la
instalacin. En otras palabras, el administrador de la seguridad intenta
garantizar que los recursos fsicos en los cuales se basa el desarrollo,
implantacin y mantenimiento de sistemas estn seguros frente a amenazas
externas o internas que puedan afectar a la continuidad de la instalacin, o
puedan provocar perdida de activos de la organizacin, tanto materiales como
datos.

Por supuesto, la seguridad fsica y la de las aplicaciones van parejas. Si faltan

los controles que tengamos establecidos para preservar la seguridad fsica,
deben entonces dispararse los controles de aplicacin con el intento de
proteger las aplicaciones individuales.

OBJETIVOS
El objetivo del presente trabajo es presentar de forma sinttica los principales
puntos de la planificacin y revisin de la seguridad informtica, as como los
objetivos de control y las directivas de auditoria relativas a la seguridad en
sistemas informticos. Tambin mencionar algunos instrumentos utilizados por
los administradores de la seguridad para obtener la tan til y ansiada seguridad
lgica y fsica.

LA FUNCION DE LA SEGURIDAD EN UN SISTEMA DE

INFORMACION
La informacin constituye un activo ms de las organizaciones y, en muchos
casos, un elemento ms de ventajas competitivas, por lo que debe de

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 2

protegerse mediante las polticas, procedimientos y planes adecuados de
seguridad.

Las amenazas a los activos que componen la instalacin informtica (personal,

equipos, programas, etc.) deben identificarse, y estimar la probabilidad de que
ocurran.

SEGURIDAD INFORMATICA
La existencia de amenazas que afectan la disponibilidad, integridad y
confidencialidad de los datos es real. Es crtico para las organizaciones poder
identificar esas amenazas y adoptar recomendaciones que permitan prevenir,
detectar y protegerse de ellas. La diversidad y la heterogeneidad de los
sistemas de informacin que requieren las organizaciones actuales, sumado a
la globalizacin a la que se enfrentan al conectar esos sistemas al mundo de
internet, genera un sinfn de incertidumbres en lo referente a la seguridad de la
informacin.

ANLISIS DEL RIESGO

Cuando se crea una poltica de seguridad de red, es importante comprender
que la razn para crear esta poltica es, en primer lugar, asegurar que los
esfuerzos dedicados a la seguridad impliquen un costo razonable. Esto
significa que se debe conocer cuales recursos vale la pena proteger, y cuales
son ms importantes que otros. Tambin se debe identificar la fuente de
amenazas de la cual se esta protegiendo a los recursos de la red. A pesar de
toda la publicidad acerca de los intrusos que irrumpen en una red, muchos
estudios indican que, en el caso de la mayora de las organizaciones, las
verdaderas prdidas causadas por los usuarios internos son mucho mayores.
El anlisis de riesgo implica determinar lo siguiente:
Que necesita proteger?
De que necesita protegerlo?
Cmo protegerlo?

Los riesgos deben clasificarse por nivel de importancia y gravedad de la

perdida. No debe terminar en una situacin en la que se gaste ms en proteger
algo que es de menor valor.

CONCEPTO DE HACKER
Un Hacker es una persona que est siempre en una continua bsqueda de
informacin, vive para aprender y todo para l es un reto; no existen barreras, y
lucha por la difusin libre de informacin, distribucin de software sin costo y la
globalizacin de la comunicacin.

El concepto de Hacker, generalmente es confundido errneamente con los

mitos que existen acerca de este tema:
Un Hacker es pirata, esto no es as ya que los piratas comercian con la
informacin que obtienen, entre otras cosas, y un verdadero Hacker solo
obtiene esa informacin para su uso personal.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 3

 Un Hacker es el que entra en los sistemas ajenos y se dedica a destruir la
informacin almacenada en ellos. El error consiste en que el que destruye
informacin y sistemas ajenos, no es el Hackers sino el Cracker.

Pero entonces veamos que s es un hacker:

Un verdadero hacker es curioso y paciente: si no fuera as terminaran
por hartarse en el intento de entrar en el mismo sistema una y otra vez,
abandonando el objetivo.
Un verdadero hacker no se mete en el sistema para borrarlo todo o para
vender lo que consiga. Quiere aprender y satisfacer su curiosidad.
Un hacker es inconformista, porqu pagar por una conexin que
actualmente cuesta mucho dinero, y adems es limitado? Porqu
pagar por una informacin que solo vamos a utilizar una vez en nuestra
vida, por ejemplo, un articulo para un trabajo de la Universidad?
Un hacker es discreto, es decir que cuando entra en un sistema es para
su propia satisfaccin, no van por ah cantndolo a los cuatro vientos. La
mayora de los casos de "Hackers" escuchados son en realidad
"Fantasming". Esto quiere decir, que si un amigo se entera que se ha
entrado en cierto sistema; "el ruido de los canales de comunicacin"
har que se termine sabiendo que se ha entrado en un sistema cinco
veces mayor, que haba destruido miles de ficheros y que haba
inutilizado el sistema.
Un hacker disfruta con la exploracin de los detalles de los sistemas
programables y cmo aprovecha sus posibilidades; al contrario de la
mayora de los usuarios, que prefieren aprender slo lo imprescindible.
Un hacker programa de forma entusiasta (incluso obsesiva), rpido y
bien.
Un hacker disfruta del reto intelectual de superar o rodear las
limitaciones de forma creativa.
Antiguamente en esta lista se inclua: Persona maliciosa que intenta
descubrir informacin sensible: contraseas, acceso a redes, etc... Pero
para este caso en particular los verdaderos Hackers han optado por el
trmino Cracker y siempre se espera (quizs intilmente) que se los
diferencie.

Ntese que ninguna definicin define al Hacker como un criminal. En el mejor

de los casos, los hackers cambian precisamente la fabricacin de la
informacin en la que se sustenta la sociedad y contribuyen al flujo de
tecnologa. En el peor, los hackers pueden ser traviesos perversos o
exploradores curiosos. Los hackers no escriben dainos virus de computadora.
Quienes lo hacen son los programadores tristes, inseguros y mediocres. Los
virus dainos estn completamente en contra de la tica de los Hackers.

QU ES UN VIRUS?
Es un pequeo programa escrito intencionalmente para instalarse en la
computadora de un usuario sin el consentimiento o el permiso de este.
Decimos que es un programa parsito porque el programa ataca a los archivos
o sectores y se replica a s mismo para continuar su esparcimiento.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 4

Algunos se limitan solamente a replicarse, mientras que otros pueden producir
serios daos que pueden afectar a los sistemas. Tienen diferentes finalidades:
algunos slo 'infectan', otros alteran datos, otros los eliminan, algunos slo
muestran mensajes. Pero el fin ltimo de todos ellos es el mismo:
PROPAGARSE. Es importante destacar que el potencial de dao de un virus
informtico no depende de su complejidad sino del entorno donde acta. Un
virus es un programa que cumple las siguientes pautas: es daino, es auto
reproductor, es secreto.
Los 5 principales sntomas de infeccin son:
Se nos cambia sola la pgina de inicio, error y bsqueda del navegador.
Se nos abren ventanitas pop-ups o emergentes por todos lados, incluso
sin estar conectados y sin tener el navegador abierto, la mayora son de
temas pornogrficos.
Barras de bsquedas de sitios como la de Alexa, Hotbar, etc. que no
podemos eliminar.
Botones que se aparecen la barras de herramientas del navegador y no
podemos sacarlos.
La navegacin por la red se hace cada da ms lenta.

QU ES UN ANTIVIRUS?
No para toda enfermedad existe cura, como tampoco existe una forma de
erradicar todos y cada uno de los virus existentes.

Es importante aclarar que todo antivirus es un programa y que, como todo

programa, slo funcionar correctamente si es adecuado y est bien
configurado. Adems, un antivirus es una herramienta para el usuario y no slo
no ser eficaz para el 100% de los casos, sino que nunca ser una proteccin
total ni definitiva.

La funcin de un programa antivirus es detectar, de alguna manera, la

presencia o el accionar de un virus informtico en una computadora. Este es el
aspecto ms importante de un antivirus, independientemente de las
prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la
posible presencia de un virus informtico, detener el trabajo y tomar las
medidas necesarias, es suficiente para acotar un buen porcentaje de los daos
posibles. Adicionalmente, un antivirus puede dar la opcin de erradicar un virus
informtico de una entidad infectada. Uno de los antivirus mas conocidos es el
Norton Anti Virus, el Firewall, el Dr. Solomon's Toolkit.

Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que

ejerce la una poltica de seguridad establecida. Es el mecanismo encargado de
proteger una red confiable de una que no lo es (por ejemplo Internet).
PRUEBAS DE INTRUSIN
(TEST DE PENETRACIN o ETHICAL HACKING)
Los intrusos informticos utilizan diversas tcnicas para romper los sistemas de
seguridad de una red. Bsicamente buscan los puntos dbiles del sistema para
poder ingresar. El trabajo de los administradores y de los Testers no difiere

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 5

mucho de esto. En lo que si se diferencia, es en los objetivos: mientras un
intruso penetra en las redes para distintos fines (investigacin, dao, robo), un
administrador lo hace para poder mejorar los sistemas de seguridad. Los
intrusos cuentan con grandes herramientas como los scanner, los cracking de
passwords, software de anlisis de vulnerabilidades, los exploits y
probablemente el arma ms importante: la ingeniera social. Un administrador
cuenta con todas ellas empleadas para bien, las contraseas, los sistemas de
deteccin de intrusos y los sistemas de rastreo de intrusiones.

Al conjunto de tcnicas que se utilizan para evaluar y probar la seguridad de

una red se le conoce como ethical hacking, uno de los recursos ms
poderosos con los que se cuenta hoy para generar barreras cada vez ms
eficaces.
Un test est totalmente relacionado con el tipo de informacin que se maneja
en cada organizacin. Por consiguiente, segn la informacin que deba ser
protegida, se determinan las estructuras y las herramientas de seguridad; no a
la inversa.

El software y el hardware utilizados son una parte importante, pero no nica. A

ella se le agrega lo que se denomina polticas de seguridad internas que cada
organizacin (y usuario) debe generar e implementar.

El Penetration test o ethical hacking, es un conjunto de metodologas y

tcnicas para realizar una evaluacin integral de las debilidades de los
sistemas informticos. Consiste en un modelo que reproduce intentos de
acceso a cualquier entorno informtico de un intruso potencial desde los
diferentes puntos de entrada que existan, tanto internos como remotos.

El objetivo general del ethical hacking es acceder a los equipos informticos de

la organizacin analizada e intentar obtener los privilegios del administrador del
sistema, logrando as realizar cualquier tarea sobre esos equipos. Tambin se
podrn definir otros objetivos secundarios que permitan realizar pruebas
puntuales sobre algunos mbitos particulares de la empresa.

POLTICAS DE SEGURIDAD
El software, el hardware y las conexiones entre redes de computadores nunca
sern 100% seguras. Apuntando a la proporcin para la seguridad total, una
organizacin debe asignar un valor a la informacin que est intentando
proteger y balancearla contra el ocultamiento de una violacin de seguridad y el
costo de implementar varias medidas de seguridad.

Es importante tener una poltica de seguridad de red bien concebida y efectiva

que pueda proteger la inversin y los recursos de informacin de la compaa.
Vale la pena implementar una poltica de seguridad si los recursos y la
informacin que la organizacin tiene en sus redes merecen protegerse. La
mayora de las organizaciones tienen en sus redes informacin delicada y
secretos importantes; esto debe protegerse del acceso indebido del mismo
modo que otros bienes valiosos como la propiedad corporativa y los edificios de
oficinas.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 6

Si los usuarios tienen acceso irrestricto a la red, puede ser difcil aplicar una
poltica que limite ese acceso. Tambin se debe tomar en cuenta que la poltica
de seguridad que se debe usar es tal, que no disminuir la capacidad de la
organizacin. Una poltica de red que impide que los usuarios cumplan
efectivamente con sus tareas, puede traer consecuencias indeseables: los
usuarios de la red quiz encuentren la forma de eludir la poltica de seguridad,
lo cual la vuelve inefectiva.

La poltica de seguridad del sitio debe tomar en cuenta la proteccin de estos

recursos. Debido a que el sitio est conectado a otras redes, la poltica de
seguridad del sitio debe considerar las necesidades y requerimientos de
seguridad de todas las redes interconectadas.

Una poltica de seguridad en redes efectiva es algo que todos los usuarios y
administradores de redes pueden aceptar y estn dispuestos a aplicar.
Podemos definir POLTICA DE SEGURIDAD DE LA INFORMACIN como el
conjunto de normas, reglas, procedimientos y prcticas que regulan la
proteccin de la informacin contra la prdida de confidencialidad, integridad o
disponibilidad, tanto de forma accidental como intencionada.

La Poltica de seguridad nos indica:

Qu hay que proteger
Qu Principios hemos de tener en cuenta
Cules son los Objetivos de Seguridad a conseguir
La asignacin de cometidos y responsabilidades

La Poltica de Seguridad se expresa mediante principios y objetivos. Un

PRINCIPIO es una norma o idea fundamental que rige la Poltica de Seguridad,
y que se acepta en esencia. Un OBJETIVO es la declaracin expresa de la
intencin de conseguir algo que contribuye a la seguridad de la informacin,
bien porque se opone a una de las amenazas identificadas o bien porque
satisface una exigencia de la poltica de seguridad de la informacin.

ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD

Dependiendo del tamao de una organizacin, la funcin de administracin de
la seguridad puede ocupar cuatro posiciones:

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 7

 En pequeas organizaciones que utilizan sistemas llave en mano
puede no haber personal informtico y, como consecuencia, nadie
asume el papel de administrador de la seguridad, sin embargo la
administracin de la seguridad es tan importante en las pequeas
organizaciones como en las grandes.
Cuando una organizacin tiene su propio personal de proceso de datos,
pero no hay suficiente trabajo como para justificar un puesto de trabajo
de administrador de la seguridad.
En organizaciones grandes puede haber suficiente carga de trabajo
como para justificar un puesto de trabajo nico de administrador de la
seguridad.
Dentro de las organizaciones grandes, y tambin en otros casos,
depender del responsable de seguridad para todos los aspectos de
seguridad de la organizacin.

COMO LLEVAR A CABO UN PROGRAMA DE SEGURIDAD

Un programa de seguridad consiste en una serie de evaluaciones peridicas y
sucesivas, que se llevan a cabo para asegurarse de que los recursos fsicos de
una instalacin informtica estn adecuadamente salvaguardados. Una de las
primeras tareas del administrador de seguridad es preparar y estudiar una lista
amplia de las posibles amenazas o peligros a la organizacin, preparar un
inventario de los activos, evaluar la adecuacin de los controles, implantar
nuevos controles.

El programa de seguridad requiere que se lleven a cabo evaluaciones

peridicas, para determinar si la siempre cambiante realidad de una
organizacin continua cubierta en sus aspectos de seguridad.

Existen seis pasos o fases a llevar a cabo cuando se evala la seguridad de

una instalacin:
1. Preparacin de un plan: la preparacin de un plan escrito, con
objetivos claros y alcanzables, es el primer paso en la toma de
conciencia de los aspectos de seguridad en una instalacin informtica y
debe considerarse en primer lugar las reas crticas una vez
identificadas estas, podremos comenzar a considerar aspectos de
seguridad para la instalacin. Los puntos bsicos de dicho plan son los
siguientes:
Objetivos y mbito de la evaluacin
Tareas a realizar
Organizacin del equipo del plan de seguridad
Asignar y presupuestar los recursos
Planificacin de tareas

2. Identificacin y valoracin de los activos: para cada tipo de activo, el

administrador de la seguridad debe preparar un inventario lo mas
completo posible para identificar y valorar cada activo. La valoracin es
una referencia para que los usuarios desarrollen la sensibilidad
necesaria a las posibles consecuencias de la amenaza de no disponer
de ese activo en caso de fraude o desastre.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 8

 3. Identificacin de amenazas: una amenaza se define como una accin
o suceso que puede conducir a una prdida por eso el administrador de
la seguridad debe:
Identificarlas.(tipo y activos a los que afectara)
Evaluar la probabilidad de que ocurra
Despus de identificar las amenazas a las que se debe estimar la
probabilidad de que ocurran.

4. Anlisis de riesgo: esta es la fase ms difcil en una evaluacin de

seguridad y comprende tres tareas principales:
Identificacin de los controles y garanta de su fiabilidad.
Evaluacin de la probabilidad de que una amenaza se convierta
en realidad, dada la fiabilidad de los controles diseados para
enfrentarse a ella.
Establecimiento de las perdidas que tendran lugar si la amenaza
consigue saltarse los controles.

5. Ajuste de los controles: esta fase incluye tanto la revisin de los

controles ya existentes, como el rediseo de los mismos, o incluso la
implantacin de nuevos controles. Por lo que el administrador de la
seguridad debe realizar un anlisis costo-beneficio de los riesgos a que
se enfrenta la instalacin, y de los controles a implantar.

6. Preparacin del informe: esta es la fase final de la revisin de la

seguridad en donde se documentan los hallazgos de la revisin y se
realizan recomendaciones. Estas recomendaciones que realiza el
auditor deben estar suficientemente justificadas tcnica y
econmicamente, debido a que requerirn disear o implantar nuevos
controles, realizar inversiones en seguridad adicionales o modificar la
poltica de seguridad existente.

SEGURIDAD FISICA Y LOGICA

El acceso a los recursos de ordenador del departamento de informtica debera
estar limitado a aquellos individuos que tengan necesidad documentada y
autorizada de efectuar dicho acceso. Para proteger los recursos de ordenador

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 9

contra utilizacin o modificacin no autorizada, dao o perdidas, deberan
establecerse niveles de controles de acceso lgico o fsico.

Es muy importante ser conciente que por ms que nuestra empresa sea la ms
segura desde el punto de vista de ataques externos (hackers, virus, ataques de
sistemas remotos, etc.); la seguridad de la misma ser nula si no se ha previsto
como combatir un incendio o cualquier otro tipo de desastre natural y no tener
presente polticas claras de recuperacin de desastres, las cuales nos ayudan
a seguir una gua para restaurar el servicio de cmputo en forma rpida,
eficiente y con el menor costo y prdidas posibles.

La Seguridad Fsica consiste en la aplicacin de barreras fsicas y

procedimientos de control, como medidas de prevencin y contramedidas ante
amenazas a los recursos e informacin confidencial. Se refiere a los controles
y mecanismos de seguridad dentro y alrededor del centro de cmputo, as
como los medios de acceso remoto al y desde el mismo; implementados para
proteger el hardware y medios de almacenamiento de datos. En otras palabras
se refiere a la proteccin del hardware y de los soportes de datos, as como los
edificios e instalaciones que los albergan.

Las principales amenazas que se prevn en Seguridad Fsica son:

Desastres naturales, incendios accidentales, tormentas e inundaciones.
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.

Evaluar y controlar permanentemente la seguridad fsica de las instalaciones

de cmputo y del edificio es la base para comenzar a integrar la seguridad
como una funcin primordial dentro de cualquier organismo.

Tener controlado el ambiente y acceso fsico permite:

Disminuir siniestros.
Trabajar mejor manteniendo la sensacin de seguridad.
Descartar falsas hiptesis si se produjeran incidentes.
Tener los medios para luchar contra accidentes.

Luego de ver como nuestro sistema puede verse afectado por la falta de
seguridad fsica, es importante recalcar que la mayora de los daos que puede
sufrir un centro de cmputo no ser sobre los medios fsicos sino contra
informacin por l almacenada y procesada.
Como ya se ha mencionado, el activo ms importante que se posee es la
informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica
que la asegure.

La Seguridad Lgica consiste en la aplicacin de barreras y procedimientos

que resguarden el acceso a los datos y slo se permita acceder a ellos a las
personas autorizadas para hacerlo. Es decir, la seguridad en el uso del
software, la proteccin de los datos, procesos y programas, as como la del
acceso ordenado y autorizado de los usuarios a la informacin.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 10

Existe un viejo dicho en la seguridad informtica que dicta que todo lo que no
est permitido debe estar prohibido y esto es lo que debe asegurar la
seguridad lgica.

Los objetivos que se plantean sern:

Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una supervisin
minuciosa y no puedan modificar los programas ni los archivos que no
correspondan.
Asegurar que se estn utilizando los datos, archivos y programas
correctos en y por el procedimiento correcto.
Que la informacin transmitida sea recibida por el destinatario al cual ha
sido enviada y no a otro.
Que la informacin recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisin entre
diferentes puntos.
Que se disponga de pasos alternativos de emergencia para la
transmisin de informacin.
Aqu se mencionan los programas antivirus, la programacin de los sistemas,
las contraseas, palabras de paso, la restriccin de los accesos, etc.
Es muy importante la adecuada seleccin de las herramientas que una
organizacin necesita adquirir, as como su correcta implantacin. Un
adecuado proceso de seleccin permite encontrar un punto de equilibrio entre
el costo que las herramientas tienen y el que ocasionan las violaciones de
seguridad. De igual manera, el xito de las herramientas depende de su
correcta implantacin, configuracin y administracin.

La seguridad y la utilidad de una computadora son inversamente

proporcionales; es decir que incrementar la seguridad en un sistema
informtico, su operatividad desciende y viceversa.

Tenemos la tambin llamada informtica forense, por investigacin forense en

computacin se conoce al conjunto de herramientas y tcnicas que son
necesarias para encontrar, preservar y analizar pruebas digitales frgiles, que
son susceptibles de ser borradas o sufrir alteracin de muchos niveles.
Quienes la practican renen esos datos y crean una llamada prueba de
auditora para juicios penales. Buscan informacin que puede estar
almacenada en registros de acceso, registros especficos, modificacin de
archivos intencionalmente, eliminacin de archivos y otras pistas que puede
dejar un atacante a su paso. La idea principal en este tipo de anlisis es contar
completamente con todo el apoyo del afectado y depende exclusivamente del
manejo inmediato que el atacado le haya dado al incidente, ya que al ingresar
al sistema o apagar el servidor se puede perder informacin valiosa para
anlisis posteriores.
AUDITORIA DE ENTORNOS FISICOS
Los riesgos ms inmediatos y generalmente ms fciles de detectar estn en
los entornos fsicos. Debe existir una proteccin fsica adecuada de las

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 11

instalaciones, los equipos, los programas y los datos respecto a cualquier
acceso no autorizado o cualquier tipo de riesgo en general.

1. PUNTOS A REVISAR EN EL ENTORNO FISICO:

En instalaciones importantes es frecuente que haya una persona o equipo
responsable de la seguridad informtica en general, funcin diferente de la
auditoria informtica. El auditor debe revisar los puntos siguientes:
Instalaciones
Accesos
Salidas de evacuacin
Documentacin
Control de impresos
Personal
Contratacin de plizas de seguro adecuadas
A continuacin veremos con ms detalle la revisin de estos puntos:

2. INSTALACIONES:
Revisar la ubicacin de los ordenadores: estos deben de estar
protegidos de inundaciones u otras catstrofes y de la manipulacin de
empleados no autorizados.
Sala de ordenadores y sus instalaciones auxiliares: estas deben de ser
construidas con materiales adecuados y resistentes, el falso suelo y
falso techo han de ser incombustibles y tambin deberan serlo las
puertas y las paredes.
Fuego: debe de haber detectores de humo, detectores de calor y
extintores.
Existencia de alarmas y sistemas de extincin: los extintores no deben
ser nocivos, ni daar los ordenadores y no deberan de ser
ecolgicamente dainos.
Las cajas de impresos: deben de estar en reas distintas, no solo por el
fuego sino porque su manipulacin genera polvo y particulas
perjudiciales para el procesador y disco.
El tabaco: debe estar prohibido fumar y se debe recordar con carteles.
Planes de adecuacin: para facilitar la labor de los bomberos y equipos
de extincin es necesario contar con planos, sealizacin adecuada e
instrucciones.
Personal: en cuanto a las personas, es necesario tener un botiqun de
primeros auxilios, para quemaduras y cualquier emergencia.
Pruebas: deben hacerse pruebas peridicas de detectores y extintores
automticos y revisar la carga.
Aire acondicionado: necesario no solo por la temperatura y por la
humedad sino por la pureza del aire; las particulas daan dispositivos y
soportes magnticos.
Medidores de corriente
Falso suelo

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 12

3. ACCESOS: el auditor debe revisar las medidas de seguridad en los
accesos de la forma siguiente:
Control fsico:
Registro de visitas: se controla mediante
contraseas, tarjetas, huellas, firma o por
reconocimiento de vos.
Grabacin de visitas en pelculas
Control lgico:
Paquete de seguridad y perfil de cada usuario segn
a que pueda y deba acceder.
Terminales desconectadas despus de un periodo de
tiempo sin uso.
Contraseas de 5 a 8 caracteres alfanumrico,
generados aleatoriamente y la proteccin de contraseas que
deberan memorizarse.
4. SALIDAS DE EVACUACION: se revisa a travs de los aspectos
siguientes:
Entrenamiento y planes adecuados, pruebas y simulacros peridicos.
Procedimientos de alerta

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 13

 Sealizacin adecuada

5. DOCUMENTACION: se revisa a travs de:

Documentacin adecuada, completa y actualizada.
Referida a operacin normal

6. CONTROL DE IMPRESOS: se revisa a travs del aspecto siguiente:

Determinados impresos deben estar controlados de forma especial, e
incluso las hojas que se estropean al posicionar el papel en la
impresora, para evitar fraudes.
Debe existir un control de al menos dos personas cuando dichos
impresos se reciben.

7. PERSONAL: se revisa a travs de:

Descripcin de funciones y que no exista incompatibilidad.
Revisin de cumplimiento de objetivos y de salarios.
Rotacin peridica para poder cubrir vacantes y por seguridad.
Si un empleado deja la entidad o la funcin hay que recuperar llaves,
tarjetas de acceso y contraseas.

8. CONTRATACION DE POLIZAS DE SEGURO ADECUADAS: los

grandes riesgos a cubrir, al menos, deben ser los siguientes:
Incendios
Fenmenos naturales
Inundaciones

AUDITORIA DE LA SEGURIDAD LOGICA

La seguridad lgica complementa y se contrapone a la seguridad fsica. La
clave de la seguridad lgica es el sistema operativo, que segn los casos
pueden reforzarse con medidas organizativas y de control interno.

La seguridad lgica tiene dos dimensiones que son:

1. La autenticacin o acreditacin de usuarios:
Necesidad acreditada, positiva, de acceso.
Mnimo privilegio necesario.

2. El secreto de archivos y transmisiones

En el caso de auditorias de seguridad lgica se diferencian dos escenarios:

1. Auditoria de penetracin externa: se auditan los sistemas de forma que
estn protegidos frente a ataques desde fuera de la organizacin.

2. Auditoria de penetracin interna: consiste en el mismo estudio de la

penetracin externa, pero haciendo la suposicin que el ataque
proceder desde el interior de la empresa, es decir, por usuarios del
sistema.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 14

Algunas reas de estudio que pueden formar parte de una auditoria de
seguridad lgica:
Virus: atentan contra la confidencialidad (troyanos), integridad y
disponibilidad de los datos y el software.
Hackers: atentan al menos contra la confidencialidad de los datos.
Sistemas operativos inestables (no bien instalados, con cadas de sistema
frecuentes): atentan al menos contra la disponibilidad.
Copias de seguridad: incrementa la disponibilidad de los datos.
Programas mal diseados: atentan contra la integridad de los datos ya
que producen resultados incorrectos (no corresponden a la realidad),
pueden dejar datos incorrectos en caso de cadas.

LA SEGURIDAD NO ES UN PRODUCTO, ES UN PROCESO CONSTANTE

RESPONSABILIDAD DE LA SEGURIDAD LOGICA Y

FISICA
OBJETIVO DE CONTROL
La responsabilidad de asegurar la seguridad, tanto lgica como fsica, de los
activos de informacin de la organizacin, debera estar asignada a un director
dependiente de la alta direccin de la organizacin.
Dicha persona no debe tener responsabilidades como: operacin de equipos, o
entrada de datos a ser tratados con el departamento de informtica.

DIRECTIVA DE AUDITORIA
Deben revisarse los procedimientos de la organizacin para asegurar la
seguridad, tanto lgica como fsica, de sus activos de informacin.

Revisar el organigrama de la organizacin para determinar si se ha

nombrado un director de seguridad de la informacin y si dicha persona
depende de algn miembro de la alta direccin de la organizacin.
Revisar la declaracin de polticas de seguridad de la informacin de la
organizacin.
Entrevistar al director de seguridad de la informacin de la organizacin o a
otros empleados a los que se le hayan asignado responsabilidades de la
seguridad de la informacin.
Entrevistar a personal seleccionado del departamento de informtica.
Revisar los procedimientos que la organizacin pueda tener para identificar
riesgos potenciales para la seguridad de la informacin planteados por los
miembros del departamento de informtica.

ACCESO A LAS INSTALACIONES DE ORDENADORES

OBJETIVO CONTROL

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 15

Deberan adoptarse medidas para asegurar que, el acceso a las instalaciones
(o salas) de ordenadores del Departamento de informtica, queda restringido a
los individuos que han sido autorizados a tener dicho acceso.

DIRECTIVA DE AUDITORIA
Deben revisarse los procedimientos establecidos por el Departamento de
Informtica para restringir el acceso a sus instalaciones de ordenadores.
Asegurar que se ha publicado una declaracin escrita que define las
restricciones de acceso a las instalaciones.
Determinar si hay procedimientos adecuados para evitar que personas no
autorizadas logren acceder a las instalaciones.
Obtener un plano de la distribucin fsica de las instalaciones de
ordenadores del departamento de informtica.
Obtener una lista de todos los individuos autorizados atener acceso al
departamento de informtica y que dicho permiso sea necesario.
Observar las actividades en el departamento de informtica para
asegurarse de que solamente entre personal autorizado.
Asegurar que, cuando las instalaciones de ordenadores del Departamento
de Informtica estn desocupadas, hay vigilancia peridica.

ACOMPAAMIENTO DE VISITAS
OBJETIVO DE CONTROL
Las personas que no son miembros de la plantilla de explotacin del
departamento de Informtica, debern ser acompaadas por un miembro de
dicha plantilla.

DIRECTIVA DE AUDITORIA
Deben revisarse los procedimientos de Departamento de Informtica para
asegurar que cualquier persona que no sea de la plantilla de explotacin es
acompaada por un miembro de la misma.
El auditor debe revisar los procedimientos establecidos por el departamento
de informtica para identificar a las visitas a las instalaciones de
ordenadores y para acompaarles mientras estn presentes en esas reas.

ADMINISTRACION DE PALABRAS DE PASO

OBJETIVO DE CONTROL
El acceso lgico a los ordenadores del departamento de informtica debera
estar restringido mediante el uso de palabras de paso asociadas a regla de
acceso.

DIRECTIVA DE AUDITORIA
Debe revisarse el procedimiento del departamento de informtica para el
empleo de palabras de paso y otras restricciones lgicas de acceso a los
recursos de ordenador.
Revisar el procedimiento del departamento de informtica para aadir,
cambiar o borrar personas a la lista de las autorizadas a tener acceso a los
recursos del ordenador.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 16

 Revisar el procedimiento del departamento de informtica para suministrar
palabras de paso.
Verificar que los procedimientos del departamento de informtica aseguran
que las palabras de paso no aparecen en pantalla durante el proceso de
identificacin del usuario.
Determinar si los procedimientos del departamento de informtica restringen
a los usuarios a terminales, horarios y das de la semana especficos,
cuando el riesgo justifica controles adicionales de acceso.
Determinar si las palabras de paso tienen una longitud adecuada, que estas
sean cambiadas peridicamente y que no sean utilizadas por la misma
persona.
Determinar si los usuarios quedan desconectados rpidamente, y si en caso
de despido de alguna persona su identificacin y palabra de paso quedan
canceladas.

INFORMES DE VIOLACIONES Y ACTIVIDADES DE

SEGURIDAD
OBJETIVO DE CONTROL
Los procedimientos de seguridad de la informacin del departamento de
informtica, deberan de asegurar que se revisan peridicamente los informes
de violaciones y actividad de seguridad para identificar y resolver incidentes
relativos a actividades no autorizadas.

DIRECTIVA DE AUDITORIA
Determinar si se vienen registrando cambios en los registros de violaciones
de seguridad del departamento de informtica, y verificar que existan los
documentos autorizando los cambios.
Revisar los procedimientos del departamento para revisar y resolver los
informas sobre violaciones de seguridad y que se cumplan.
Determinar si los registros de violaciones de seguridad del departamento de
informtica estn protegidos contra destruccin accidental o intencional.

RESTRICCIONES DE ACCESO LOGICO

OBJETIVO DE CONTROL
El departamento de informtica debera establecer reglas automticas que
regulan el acceso a sus recursos de ordenador.

DIRECTIVA DE AUDITORIA
Determinar si existe documentacin que justifique la necesidad de la
autorizacin para que el usuario acceda a recursos del sistema de
informacin.
Revisar los procedimientos para el acceso de emergencia o temporal a los
recursos del sistema de informacin. Verificar que el acceso temporal solo
se concede con la frecuencia estrictamente necesaria.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 17

 Verificar que la separacin de funciones se mantiene mediante el sistema
de control de acceso y determinar que los programadores de sistemas y los
de aplicaciones no tienen acceso a programas y datos de explotacin.

SEGURIDAD DE ACCESO A DATOS EN LINEA (ON LINE)

OBJETIVO DE CONTROL
En un entorno de tratamientos de datos en lnea, los procedimientos del
departamento de informtica, deberan brindar controles de seguridad de los
accesos basados en la necesidad probada del individuo de consultar, aadir,
cambiar o borrar datos.

DIRECTIVA DE AUDITORIA
Debe revisarse los procedimientos del departamento de informtica para
autorizar el acceso a un entorno de tratamiento en lnea de aplicaciones y
datos.
Determinar si los procedimientos del departamento de informtica para
autorizar el acceso permiten limitar las funciones de consultar, aadir,
cambiar o borrar datos, y restringir el acceso individual.
Determinar si la direccin de los departamentos usuarios valida
peridicamente las libertades de acceso al entorno de tratamiento en lnea
actualmente concedidas a individuos de su departamento.

PROTECCION CONTRA EL FUEGO

OBJETIVO DE CONTROL
Las medidas de proteccin contra el fuego de la zona de explotacin del
departamento de informtica, deberan ser conforme con los estndares
generalmente aceptados para dichas medidas protectoras.

DIRECTIVA DE AUDITORIA
Revisar los estndares generalmente aceptados, publicados por
organizaciones nacionales de proteccin contra el fuego.
Determinar mediante entrevistas con la alta direccin de la organizacin y
con la direccin del departamento de informtica, su comprensin de la
adecuacin del cumplimiento del departamento con estndares de
proteccin contra el fuego generalmente aceptados.
Revisar las evaluaciones de la adecuacin de las medidas de proteccin
contra el fuego realizadas por la agencia de seguros o por el jefe de
bomberos.

FORMACION Y CONCIENCIACION EN PROCEDIMEINTOS

DE SEGURIDAD

OBJETIVO DE CONTROL

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 18

El personal de explotacin del departamento de informtica, debera recibir
informacin peridica sobre los controles y procedimientos de seguridad que se
espera que cumplan.

DIRECTIVA DE CONTROL
Determinar que los miembros de la plantilla del departamento de
informtica, han recibido peridicamente informacin adecuada sobre los
procedimientos a seguir en caso de emergencias de fuego, agua o alarmas.
Verificar que estos miembros conozcan los sitios en los que se encuentran
las alarmas de fuego, los extintores, de los interruptores de energa elctrica
normales y de emergencia, etc.; adems de saber si los miembros del
departamento efectan simulacros de incendio.

INSTALACION DE CAMBIOS EN EL SOFTWARE DE

SISTEMAS
OBJETIVO DE CONTROL
Los cambios del software del sistema realizados por el departamento de
informtica deberan ser probados detalladamente antes de comenzar su
utilizacin y aplicacin de tratamientos de datos reales.

DIRECTIVA DE AUDITORIA
Determinar si el departamento de informtica ha establecido un plan escrito
para la prueba de cambios en el software de sistemas.
Determinar si los problemas puestos de manifiesto durante las pruebas
fueron identificados y resueltos adecuadamente.
Determinar si en el departamento de informtica existen instalaciones e
pruebas adecuadas para brindar una seguridad razonable.
Determinar si a los programadores del departamento y a los usuarios del
software de sistemas se les notifica adecuadamente del cambio en el
producto.

MANTENIMIENTO DE SOFTWARE DE SISTEMAS

OBJETIVO DE CONTROL
Todas las actividades de mantenimiento del software del sistema deberan
documentarse del modo que satisfagan los estndares del departamento de
informtica.

DIRECTIVA DE AUDITORIA
Revisar los procedimientos del departamento de informtica para el
mantenimiento del software de sistemas y determinar si todos los cambios
obtenidos en estos productos estn documentados.
Verificar que la documentacin contiene una historia de quien hizo el
cambio, cuando se hizo el cambio y una descripcin del mismo.

CONTROL DE CAMBIOS EN EL SOFTWARE DE

SISTEMAS

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 19

OBJETIVO DE CONTROL
Todo el software de sistemas debera tenerse en bibliotecas de programas
separadas y protegidas, en el departamento de informtica.

DIRECTIVA DE AUDITORIA
Obtener una lista de las bibliotecas de pruebas y explotacin utilizadas para
almacenar el software de sistemas.
Determinar si el acceso a las bibliotecas que almacenan el software esta
limitado por la necesidad de cada individuo.
Revisar los controles establecidos para asegurar que los programadores de
sistemas no introducen cambios en dichos productos sin probarlos ni
documentarlos adecuadamente.

GESTION DE PROBLEMAS CON EL SOFTWARE DE

SISTEMAS
OBJETIVO DE CONTROL
Todos los programas de explotacin experimentados por el departamento de
informtica que puedan ser atribuidos al software de sistemas deben
registrarse, analizarse y resolverse.

DIRECTIVA DE AUDITORIA
Revisar los procedimientos del departamento de informtica para identificar
y documentar problemas con el software de sistemas.
Determinar si los registros de problemas con el software de sistemas del
departamento identifican la gravedad del problema, registran la asignacin
de su anlisis y solucin a individuos concretos y especifican la forma de
resolucin del problema.
Revisar las causas y frecuencias de los problemas recurrentes con el
software de sistemas y cerciorarse si el proceso de control de cambios
debera haber prevenido tales problemas.

SEGURIDAD DEL SOFTWARE DE SISTEMAS

OBJETIVO CONTROL
El software de sistemas instalado por el departamento de informtica no
debera poner en peligro la integridad de los datos y programas almacenados
en el ordenador.

DIRECTIVA DE AUDITORIA
Revisar las posibilidades de soslayar las restricciones de acceso de
seguridad lgica ya existentes, de las brindadas por el software de sistemas
utilizadas por el departamento de informtica y determinar si el
departamento ha establecido procedimientos para restringir tales
posibilidades.
Revisar las capacidades que el software de sistemas utilizado por el
departamento tiene para interrumpir el entorno de explotacin y determinar

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 20

 si existe en el departamento un procedimiento para limitar el acceso a esas
capacidades.
Determinar que terminales han sido habilitados con posibilidad de ejecutar
en la consola del sistema, y verificar que las medidas de seguridad fsica y
lgica existentes restringen adecuadamente el acceso a dichas consolas de
sistema.
Determinar si las palabras de paso suministradas por el proveedor de
software de sistemas, se cambiaron por el departamento en el momento de
instalacin, como un procedimiento de rutina.

SOPORTES MAGNETICOS

Es esencial contemplar una nica biblioteca cincotecas (aunque sea virtual)

de soportes magnticos (cintas, discos, cartuchos, diskettes, etc.), que englobe
bibliotecas de explotacin, de pruebas, de usuarios finales, de seguridad
remota, etc. Cualquier irregularidad que se cometa empleando la informtica o
que deje registro informtico, aunque sea transitorio, tendr probablemente una
traza magntica.

1. RESPONSABILIDADES DE GESTION DE LA BIBLIOTECA DE

SOPORTES MAGNETICOS

OBJETIVO DE CONTROL
Las responsabilidades de gestin de la biblioteca de soportes magnticos
deberan ser asignadas a miembros especficos del departamento de
informtica, y el departamento debera establecer procedimientos de gestin
interna para proteger los contenidos de al biblioteca.

DIRECTIVA DE AUDITORIA
Asegurar que las responsabilidades de la biblioteca esta a cargo de
empleados especficos de explotacin del departamento de informtica.
Asegurar que la biblioteca de soportes esta situada en un rea dentro
del departamento de informtica, que esta seguro de daos de fuego,
agua y sabotaje.
Determinar si hay procedimientos para controlar el acceso y el uso de
todos los ficheros de programas de aplicacin al departamento.
Verificar la existencia de cualquier instalacin remota que pueda ser
utilizada para almacenar copias de ficheros de datos crticos que se
encuentran en la biblioteca de soportes y que estos datos se encuentren
realmente copias de ficheros seleccionados.
Examinar los procedimientos del departamento para la creacin de
copias de ficheros a ser almacenados en instalaciones remotas.

2. SISTEMA DE GESTION DE LA BIBLIOTECA DE SOPORTES

OBJETIVO DE CONTROL

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 21

El departamento de informtica debera de establecer procedimientos para
asegurar que los contenidos de su biblioteca de soportes se inventaran
peridicamente, que todas las discrepancias puestas de manifiesto por dicho
inventario se corrigen a tiempo oportuno y que se adoptan medidas para
conservar la integridad de los soportes magnticos.

DIRECTIVA DE AUDITORIA
Determinar si los bibliotecarios de soportes verifican peridicamente la
exactitud de la informacin creada y mantenida por un sistema de
gestin de bibliotecas de soportes, y realizar muestreos selectivos de
registros de este sistema para cerciorarse que son exactos y completos.
Verificar que los registros de los inventarios de contenido de la biblioteca
de soportes, especifican el numero de soporte, el periodo de retencin,
quien lo custodia actualmente y que las etiquetas internas empleadas,
contienen los siguientes tems:
Nombre del fichero
Fecha de creacin
Programa que lo creo
Periodo de retencin del soporte
Numero de registros o bloques contenidos en el soporte
Determinar si los procedimientos de conservacin de los soportes
magnticos especifica un ciclo peridico de limpieza de los soportes de
la biblioteca y revisar los registros pertinentes para asegurar que eso se
esta haciendo.

3. IDENTIFICACION EXTREMA Y CONTROL DE SOPORTES

MAGNETICOS

OBJETIVO DE CONTROL
El departamento de informtica debera establecer estndares para la
identificacin externa de los soportes magnticos y para el control de su
movimiento fsico.

DIRECTIVA DE AUDITORIA
Asegurar que el departamento tiene procedimientos y estndares
adecuados para identificar externamente, conservar, controlar el
movimiento y proteger sus soportes magnticos.
Observar los procedimientos del departamento para trasladar soportes
magnticos para ser procesados y devueltos a la biblioteca y verificar
que los estndares y los procedimientos del departamento se estn
cumpliendo.
Asegurar q e se llevan a cabo revisiones peridicas de las etiquetas
externas de los soportes magnticos.
Determinar que el departamento conserva registros adecuados de todos
los soportes magnticos recibidos de o enviados a terceros.

CUESTIONARIO RAPIDO SOBRE SEGURIDAD

INFORMATICA

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 22

 EN QUE GRADO SON VULNERABLES USTEDES?
La siguiente es una lista de diez preguntas que le darn una indicacin
aproximada de la proteccin de su empresa en sus operaciones informticas.

Este cuestionario no pretende ser un sustituto de un anlisis completo de

exposicin al riesgo.

(Rodee con un crculo el nmero de cada respuesta correcta)

1. Se prohbe a los empleados de informtica iniciar transacciones contables

originales, ajustes o correcciones?

2. Han identificado ustedes la existencia de individuos (programadores u otro

personal tcnico) que estn en posicin de ocasionar dao considerable, o
de quienes la organizacin tiene una alta dependencia?

3. Se niega la entrada a su sala de ordenador, a su biblioteca de discos y

cintas y a su almacn de papel impreso, a toda persona que no tenga por
su trabajo razn para entrar?

4. Se basan en calendarios planificados las vacaciones de los empleados?

(Lo cual le permitira a usted a ustedes poner de manifiesto eventuales
practicas no autorizadas)

5. Usan ustedes un procedimiento formal, que incluya autorizaciones

individuales firmadas, para controlar cambios y modificaciones en el
software de aplicaciones?

6. Contienen los ficheros de clientes y proveedores nombres seuelos

(decoy) para controlar su uso no autorizado?

7. Como regla general, prohben ustedes que alguien trabaje solo en la sala
del ordenador?

8. Para las principales aplicaciones financieras o contables existe un

diagrama de traza de auditoria (audit trail) y/o una descripcin clara que
indique como puede trazarse o seguirse una transaccin a lo largo del
sistema?

9. Hay una posicin de auditoria interna o de seguridad que reciba informes

estndar de las diferencias en cajas o inventarios, de las transacciones de
gran volumen econmico, de los consumos de almacn inusualmente altos,
o de otras actividades inusuales, inconsistentes o sospechosas?

10. Procesaran ustedes a empleados a quienes hubieran descubierto

culpables de una actividad delictiva seria premeditada contra la
organizacin?

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 23

Si hay tres o mas respuestas negativas (nmeros no rodeados), su
organizacin puede tener una vulnerabilidad informtica grave.

Si hay al menos una respuesta negativa (nmeros no rodeados), puede

convenir una accin correctora.

RESUMEN
La informacin constituye un activo ms de las organizaciones y, en
muchos casos, un elemento ms de ventajas competitivas.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 24

 El anlisis de riesgo implica determinar lo siguiente:
Que necesita proteger?
De que necesita protegerlo?
Cmo protegerlo?

Un virus es un pequeo programa escrito intencionalmente para

instalarse en la computadora de un usuario sin el consentimiento o el
permiso de este. Un hacker no es un criminal.

La funcin de un programa antivirus es detectar, de alguna manera, la

presencia o el accionar de un virus informtico en una computadora.

Al conjunto de tcnicas que se utilizan para evaluar y probar la

seguridad de una red se le conoce como ethical hacking.

Es importante tener una poltica de seguridad de red bien concebida y

efectiva que pueda proteger la inversin y los recursos de informacin
de la compaa.

El programa de seguridad requiere que se lleven a cabo evaluaciones

peridicas, para determinar si la siempre cambiante realidad de una
organizacin continua cubierta en sus aspectos de seguridad.

La seguridad fsica se refiere a la proteccin del hardware y de los

soportes de datos, as como las instalaciones que los albergan.

La seguridad lgica se refiere a la seguridad en el uso del software, la

proteccin de los datos, procesos y programas, as como la del acceso
ordenado y autorizado de los usuarios a la informacin.

La seguridad y la utilidad de una computadora son inversamente

proporcionales; es decir que incrementar la seguridad en un sistema
informtico, su operatividad desciende y viceversa.

Es muy importante la adecuada seleccin de las herramientas que una

organizacin necesita adquirir, as como su correcta implantacin.

Pese a todas las medidas de seguridad puede ocurrir un desastre, por lo

tanto es necesario un plan de recuperacin de desastres, el cual tendr
como objetivo, restaurar el servicio de cmputo en forma rpida,
eficiente y con el menor costo y prdidas posibles.

El trabajo del auditor de sistemas ser conformar sistemas que no

necesiten mantenimiento excesivo, que el sistema de cmputo ser
parte de la solucin y no parte del problema.

AUDITORIA DE LA SEGURIDAD FISICA Y LOGICA 25