Page 1

PRIMERA PARTE:

Asignatura: Sistemas de Información Administrativas Profesor Encargado: Cristian Salazar Grupo de trabajo: Anyie Gallardo Evelin Muñoz Nidia Manríquez


¿Qué es auditoria Informática?

Auditoria Informática: es el conjunto de técnicas, actividades y procedimientos, destinados a analizar evaluar, verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico, puntual y discontinuo del servicio informático, con vistas a mejorar en : •

Rentabilidad

Seguridad

Eficacia

Como se desprende de los calificativos pospuestos al examen de la función informática, este examen habrá de seguir una metodología establecida, se efectuara en una fecha precisa y fija y será extraño al servicio de la informática, con la intención de conseguir el nivel de objetividad necesario en un tipo de control como el descrito. Misión importante de la auditoria informática es la detección de fraudes o errores en la informática, mediante los controles oportunos. Casi la mitad de estos fraudes son cometidos por el personal del propio centro de cálculo (o, en general, CPD) es decir, por aquellas personas que mejor conocen la organización del centro, así como aquellos puntos débiles en los que flaquea y que, por tanto, están, al menos a priori, en mejores condiciones de llevar a cabo tales tipos de acciones. El informe “data security an data processing” de IBM, relaciona una serie de orígenes de problemas que, según su frecuencia de ocurrencia, comienza por: •

Errores y omisiones

Empleados deshonestos

Empleados descontentos


Etc.

Extracto libro Auditoria Informática Autor: Gonzalo Alonso Rivas Edición 1988 Pág. 18 -19 ¿Que abarca la auditoria informática? Abarca el control de la función informática, el análisis de la eficiencia de los sistemas informáticos, la verificación del cumplimiento de la normativa, la revisión de la eficaz gestión de los recursos informáticos. Existen varios tipos de auditoria informática como: Auditoria de la gestión: respecto a la contratación de bienes y servicios, además de la documentación de programas. Auditoria legal del reglamento de protección de datos: regidas por el cumplimiento legal de las medidas de seguridad exigidas por el reglamento de desarrollo de la ley orgánica de protección de datos. Auditoria de los datos: en esta auditoria se clasifican los datos, estudios de las aplicaciones y análisis de los flujogramas. Auditoria de las bases de datos: controles de acceso, de actualización, de integridad y calidad de los datos. Auditoria de la seguridad: se refiere a datos e información verificando disponibilidad, integridad, confidencialidad, autentificación. Auditoria de la seguridad física: se refiere a la ubicación de la organización, evitando situaciones de riesgos y en algunos casos no revelando la situación física de esta. ¿Quienes pueden realizar una auditoria informática? Un auditor informático el que puede ser un ingeniero informático pero que sea especializado en gestión, además debe tener incidencia, madurez, objetividad, capacidad de síntesis, y seguridad en si mismo.


¿Qué es la Seguridad informática? La seguridad informática es la disciplina que se ocupa de diseñar normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. A pesar de lo anterior las medidas de seguridad siempre tienen un margen de riesgo. Tipos de seguridad Activa Comprende el conjunto de defensas o medidas cuyo objetivo es evitar o reducir los riesgos que amenazan al sistema. Ejemplos: impedir el acceso a la información a usuarios no autorizados mediante introducción de nombres de usuario y contraseñas; evitar la entrada de virus instalando un antivirus; impedir, mediante encriptación, la lectura no autorizada de mensajes. Pasiva. Está formada por las medidas que se implantan para, una vez producido el incidente de seguridad, minimizar su repercusión y facilitar la recuperación del sistema: por ejemplo, teniendo siempre al día copias de seguridad de los datos. Seguridad Informática Autor: Purificación Aguilera López Pag. 9- 10

Seguridad Informática: Podríamos definirla como “la protección contra todos los daños sufridos o causados por la herramienta informática y originados por el acto voluntario y de mala fe de un individuo” Seguridad en la informática de empresa Riesgos, amenazas, prevención y soluciones Autor: Jean- Marc Royer Edición 2004 Pag. 9 Definición de Seguridad Informática


No existe una definición estricta de lo que se entiende por Seguridad Informática, puesto que esta abarca múltiple y muy diversas áreas relacionadas con los SI. Tampoco es único el objetivo de la seguridad. Son muy diversos tipos de amenazas contra los que hay que protegerse. No obstante, si hay tres aspectos fundamentales que definen la seguridad informática: la confidencialidad, la integridad y la disponibilidad. Dependiendo del tipo de sistema informático con el que se trate (militar, comercial, bancario, etc.), el orden de importancia de estos tres factores es diferente, e incluso entran en juego otros elementos como la autenticidad o el no repudio. A continuación se detallan con más detalle los aspectos mencionados: Confidencialidad Se entiende por confidencialidad el servicio de seguridad, o condición, que asegura que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados. La confidencialidad, a veces se denomina secreto o privacidad, se refiere a la capacidad del sistema para evitar que personas no autorizadas puedan acceder a la información almacenada en él. Integridad Se entiende por integridad el servicio de seguridad que garantiza que la información es modificada, incluyendo su creación y borrado, solo por el personal autorizado. Suelen integrarse varios conceptos análogos en este segundo aspecto de la seguridad: precisión, integridad y autenticidad. Entonces significa que el sistema no debe modificarse o corromper la información que almacene, o permitir que alguien no autorizado lo haga. Esta propiedad permite asegurar que no se ha falseado la información. Por ejemplo, que los datos recibidos o recuperados son exactamente lo que fueron enviados o almacenados, sin que hayan producido ninguna modificación, adición o borrador. Disponibilidad Se entiende por disponibilidad las definiciones complementarias que siguen: El grado en que un dato está en el lugar, momento y forma en que es requerido por el usuario autorizado. La situación que se produce cuando se puede acceder s un SI en un periodo de tiempo considerado aceptable. Un sistema seguro debe mantener la información disponible para los usuarios. La disponibilidad significa que el sistema, tanto en su parte hardware como soffware, se mantiene funcionando eficientemente y que es capaz de recuperarse rápidamente en caso de fallo.


Ingeniería de proyectos informáticos: actividades y procedimientos Autor: José Salvador Sánchez Garreta Edición: 2003

¿Qué software existe de auditoria Informática? El significado de COBIT viene del inglés “Control Objectives for Information and related Technology”, que significa Objetivos de Control para la información y Tecnologías relacionadas. Conjunto de buenas prácticas para el manejo de información que ha sido creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA), y el Instituto de Administración de las Tecnologías de la Información (ITGI) Administración: Para ayudarlos a lograr un balance entre los riesgos y las inversiones. Usuarios: Para obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de información proporcionados internamente o por terceras partes. Auditores de sistemas de información: Para dar soporte a las opiniones mostradas a la administración sobre los controles internos.

Meycor Cobit Crea y gestiona proyectos de auditoria de TI Diagnostica el estado de la organización respecto: Nivel de seguridad Nivel de calidad Nivel de eficacia el TI Nivel de eficiencia en TI Define los objetivos de Cobit que serán evaluados Define los centros que serán auditados Define los procedimientos usados


Características: Administra planillas con procedimientos de auditoria Crea proyectos de auditoria, de 4 tipos diferentes; Auditoria de los procesos de TI Auditoria de Actividades/tareas Revisión de objetivos de control de alto nivel Revisión de objetivos de control detallado Crea proyectos de auditoria según las evaluaciones realizadas Asigna centros de análisis, auditores, procesos, objetivos y procedimientos de auditoria a cada proyecto Define permiso para los usuarios en proyectos Realiza evaluaciones para cada centro de análisis de un proyecto y compara las evaluaciones Realiza una planificación de las auditorías a realizarse Genera el informe final (en base a os resultados de la evaluación) de forma automática Realiza un seguimiento de las recomendaciones Meycor Cobit AG Dan una estructura simple para auditar los controles en TI. Son genéricas y estructuradas a alto nivel Permiten la revisión de procesos contra los objetivos de control en TI. Eycor Cobit CSA Es una técnica gerencial que asegura a todos aquellos con intereses en el negocio, que en sistema de control interno del mismo es confiable. También asegura que los empleados sean consistentes de los riesgos del negocio, que lleven revisiones proactivas periódicamente.

¿Cual o cuales de las consultoras pertenecientes a las big four realizan Auditoria informática?


Todas las auditoras realizan auditorias informáticas, esta función la realizan generalmente ingenieros informáticos los cuales han sido capacitados en el área de auditoria. A continuación se muestra la tarea que realiza la auditora Pwc en esta área la cual representa la labro de las demás auditoras. Seguridad de la información • Identificación y diagnóstico de riesgos en tecnologías de información • Elaboración de estrategias y planificación de seguridad •

Desarrollo de modelos de Seguridad Corporativa

Desarrollo e implementación de sistemas de gestión de seguridad de la información (ISMS de la norma ISO 27001)

Desarrollo de políticas y normas de seguridad

Definición de esquema de respuesta a incidentes

Desarrollo de planes de continuidad del negocio (BCP)

Desarrollo de planes de recuperación de desastres (DRP)

Evaluación de vulnerabilidades tecnológicas

Evaluación de seguridad de redes y pruebas de intrusión internas y externas (hacking ético)

Servicios informáticos forenses

Ingeniería de roles y seguridad en ERP • Diseño de roles y perfiles de acceso • Gestión de identidades (IDM) •

Diagnóstico y diseño de seguridad ERP

Evaluación de controles ERP

¿Que abarca la seguridad informática? La seguridad informática tiene relación con proteger toda la infraestructura computacional y lo relacionado con ella, que contenga lo que la organización considere un activo que en manos de terceros puede significar un riesgo para ésta.


La seguridad informática abarca tanto la seguridad física como la lógica. Seguridad física: se refiere a la infraestructura computacional así como hardware, software, bases de datos, archivos, etc. como también los edificios e instalaciones que la contienen. Seguridad lógica: corresponde a la seguridad aplicada en el uso de software, la protección de los datos, los procesos y programas. Además de crear barreras y procedimientos que resguarden el acceso ordenado y autorizado de los usuarios a la información ¿Cuáles son los estándares internacionales para auditar sistemas de información? Los estándares internacionales que existen hoy en día para realizar auditorias a los sistemas de información son: COBIT, Objetivos de Control de la Tecnologías de la Información: Es una metodología usada para evaluar el departamento de informática de una organización, dentro de los objetivos de esta metodología se encuentra el de Garantizar la Seguridad de los Sistemas. ISO 27002: (también se puede encontrar como ISO/IEC 17799) esta norma se enfoca a la seguridad de la información en las organizaciones, para lograr reducir las probabilidades de ser afectados por robo, daño o pérdida de información. ISO 27001: Esta norma demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.

AUDITORIA INFORMATICA Y SEGURIDAD INFORMATICA  

El presente trabajo tiene el objetivo de poder dar a conocer dede un contexto tecnico el concepto y la utilidad de la Auditoria informatica.

AUDITORIA INFORMATICA Y SEGURIDAD INFORMATICA  

El presente trabajo tiene el objetivo de poder dar a conocer dede un contexto tecnico el concepto y la utilidad de la Auditoria informatica.

Advertisement