La Auditoría de Redes

1. Investigar
2. Revisar y Verificar
3. Evaluar
4. Recomendar

1. Cableado
2. Instalaciones Eléctricas
3. Tráfico de Red
4. Climatización de Servidores
5. Procedimientos de Respaldos
6. Licencias del Software
7. Inventario de Equipos

1. Es una actividad de apoyo vital para el mantenimiento de la infraestructura crítica de una nación, tanto en el sector público como privado.
   1. su objetivo
      1. Es una opinión o juicio, para lo cual se aplican técnicas de auditoria de general aceptación y conocimiento técnico específico.
   2. dado que
      1. La información es considerada un activo tan o más importante que cualquier otro en una organización.
   3. pasos para iniciar una gestión responsable de la seguridad
      1. Identificar la estructura física (hardware,topología)
      2. Lógica (software, aplicaciones)
      3. (sea un equipo, red, intranet, extranet),
         1. haciendo
            1. Un análisis de Vulnerabilidad, para saber en qué grado de exposición nos encontramos.

1. Es una serie de mecanismos mediante los cuáles se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información.

1. Auditoría Interna
   1. realizada con recursos materiales y personas que pertenecen a la empresa auditada.
      1. existe
         1. Por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento
   2. ventajas
      1. Puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal.
   3. Una empresa con auditoria interna debe contratar la auditoria externa por:
      1. Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados.
      2. Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.
      3. Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa
2. Auditoría Externa
   1. Realizada por personas afines a la empresa auditada; es siempre remunerada.
      1. presupone
         1. Una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados

Annotations:

•    Cada Área Especifica puede ser auditada desde los siguientes criterios generales:   Desde su propio funcionamiento interno.   Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta. Desde la perspectiva de los usuarios, destinatarios reales de la informática.   Desde el punto de vista de la seguridad que ofrece la Informática en general o la  rama auditada.   

Attachments:

• La Auditoría de Redes

1. Explotación
2. Sistemas
3. Comunicaciones
4. Comunicaciones
5. Desarrollo de Proyectos
6. otras clases de auditoria
   1. Financiera
   2. Informática
   3. Gestión
   4. Cumplimiento

1. Paso de ser una función de ayuda al auditor financiero a ser una función que desarrolla un trabajo, y seguirá haciéndolo en el futuro.
   1. Donde el auditor informático informático pasa a ser auditor, consultor y asesor en:
      1. seguridad
      2. control interno
      3. eficiencia y eficacia
      4. tecnología informática
      5. continuidad de operaciones
      6. gestión de riesgos
2. donde el departamento interno de auditoria debe tener un:
   1. Jefe del departamento
   2. Gerente de auditoría informática
   3. Staff de auditores informáticos

1. Estándares
   1. Los estándares tiene como objeto facilitar el comercio internacional
   2. Las series de normas ISO relacionadas con la calidad constituyen lo que se denomina familia de normas, las que abarcan distintos aspectos relacionados con la calidad
      1. Tales como
         1. ISO 9000
            1. Sistemas de Gestión de Calidad, Fundamentos, vocabulario, requisitos, elementos del sistema de calidad, calidad en diseño, fabricación, inspección, instalación, venta, servicio post venta, directrices para la mejora del desempeño.
         2. ISO 10000
            1. Guías para implementar Sistemas de Gestión de Calidad/ Reportes Técnicos Guía para planes de calidad, para la gestión de proyectos, para la documentación de los SGC, para la gestión de efectos económicos de la calidad, para aplicación de técnicas estadísticas en las Normas ISO 9000. Requisitos de aseguramiento de la calidad para equipamiento de medición, aseguramiento de la medición.
         3. ISO 14000
            1. Sistemas de Gestión Ambiental de las Organizaciones. Principios ambientales, etiquetado ambiental, ciclo de vida del producto, programas de revisión ambiental, auditorías.
         4. ISO 19011
            1. Directrices para la Auditoría de los SGC y/o Ambiental
      2. Aplicacion de la Norma 9001 - 2000
         1. Se puede aplicar en cualquier tipo de organización, ya sea con o sin fines de lucro, manufacturera o de servicios, grande, mediana o pequeña
         2. proceso de Aseguramiento de la Calidad
            1. Compromiso real y participación de los directivos
            2. Involucramiento de todos los empleados
            3. Comunicación
            4. Capacitación de todas las áreas de la organización
            5. Definición clara de responsabilidades
            6. Disponibilidad de recursos dedicados a la implementación del SGC (responsables, tiempos, dinero, espacios físicos para reuniones, etc.)
            7. Realización de un diagnóstico de calidad
            8. Comprensión de los requerimientos de los clientes
            9. Fijación de políticas y objetivos de calidad
            10. Establecimiento de un plan de calidad
            11. Ordenamiento de la documentación existente
            12. Creación de la documentación del SGC s/ norma ISO (Manual de Calidad, procedimientos, instrucciones de trabajo)
            13. Puesta a punto o calibración de máquinas, equipos, etc.
            14. Diseño e implementación de mecanismos de mejora continua
            15. Definición, planificación e implementación de actividades de medición y seguimiento necesarias para asegurar el cumplimiento de las exigencias de la norma
2. Directrices
   1. Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas practicas sugeridas.
      1. Existen estándares orientados a servir a las auditorias de informática tal como:
         1. COBIT
            1. Dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas".
         2. ISO 27002
            1. se conforma como un código internacional de buenas prácticas de seguridad de la información
         3. ISO 27001.
            1. Definen los requisitos de auditoría y sistemas de gestión de seguridad
3. Procedimientos
   1. Conjunto de técnicas de investigación aplicables a un grupo de hechos o circunstancias que nos sirven para fundamentar la opinión del auditor dentro de una auditoría.
      1. donde encontraremos diferentes procedimientos a seguir tales como:
         1. Análisis de datos
            1. Dentro de este trabajo, desarrollaremos diversos tipos de técnicas y procedimientos de auditoría, de los cuales destacan el análisis de datos, ya que para las organizaciones el conjunto de datos o información son de tal importancia que es necesario verificarlos y comprobarlos
         2. Comparación de programas
            1. Esta técnica se emplea para efectuar una comparación de código (fuente, objeto o comandos de proceso) entre la versión de un programa en ejecución y la versión de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias.
         3. Mapeo y rastreo de programas
            1. esta técnica emplea un software especializado que permite analizar los programas en ejecución, indicando el número de veces que cada línea de código es procesada y las de las variables de memoria que estuvieron presentes.
         4. Análisis de código de programas
            1. Se emplea para analizar los programas de una aplicación. El análisis puede efectuarse en forma manual (en cuyo caso sólo se podría analizar el código ejecutable).
         5. Datos de prueba
            1. Se emplea para verificar que los procedimientos de control incluidos los programas de una aplicación funcionen correctamente.
         6. Datos de prueba integrados
            1. Técnica muy similar a la anterior, con la diferencia de que en ésta se debe crear una entidad, falsa dentro de los sistemas de información.
         7. Análisis de bitácoras
            1. existen
               1. varios tipos de bitácoras que pueden ser analizadas por el auditor, ya sea en forma manual o por medio de programas especializados.
                  1. tales como
                     1. bitácoras de fallas del equipo
                     2. bitácoras de fallas del equipo
                     3. bitácoras de uso de recursos
                     4. bitácoras de procesos ejecutados
         8. Simulación paralela
            1. Técnica muy utilizada que consiste en desarrollar programas o módulos que simulen a los programas de un sistema en producción.
               1. su objetivo
                  1. procesar los dos programas o módulos de forma paralela e identificar diferencias entre los resultados de ambos.
         9. Monitoreo
         10. Datos de prueba integrados
             1. Técnica muy similar a la anterior, con la diferencia de que en ésta se debe crear una entidad, falsa dentro de los sistemas de información.
   2. permiten
      1. Obtener conocimientos del control interno
      2. Fundamentar conclusiones de la auditoría
      3. Analizar las características del control interno
      4. Verificar los resultados de control interno