Issuu on Google+

Ensayo: Auditoria y Seguridad Informática

Sistema de Información Administrativa Profesor Responsable: Cristian Salazar

Integrantes:

Anyie Gallardo Nidia Manríquez Solís Evelin Muñoz


Auditoria Informática Se refiere a un conjunto de acciones y procedimientos que son realizados para examinar, analizar y comprobar respecto a lo relacionado con el control, la planificación, la seguridad de los sistemas informáticos en una empresa que requiere de un examen que debe ser realizado en una fecha especifica para mejorar la rentabilidad, la seguridad y la eficacia. Lo más importante de la auditoria informática es descubrir los errores o fraudes en la informática a través de la realización de controles en manera oportuna ya que por lo menos la mitad de estos son realizados por las personas que trabajan en esto es decir aquellos que conocen mejor la organización. Esta contempla tanto la función informática como el análisis de los sistemas informáticos, que se cumpla la normativa y la gestión eficaz de los recursos de la informática. La auditoria informática a su vez se divide en varias auditorias como la auditoria de la gestión, auditoria legal del reglamento de protección de datos, auditoria de la seguridad entre otras. Una auditoria informática solo puede ser realizada por un auditor informático, el que debe ser especializado en gestión, además de tener conocimientos tecnológicos actuales respecto a la organización, su historia, sus características , el ambiente competitivo etc. Seguridad Informática Desde el punto de vista domestico cuan importante es la seguridad para cada uno de nosotros y hoy es aun mas importante cundo vemos que las tecnologías se han incrementado y nuestra seguridad también se puede ver vulnerada al ingresar personas extrañas a nuestros computadores personales. Es interesante saber que existe una disciplina que se encarga de velar por la seguridad de los sistemas informáticos ya que gran parte de la información que hoy en día manejan las empresas es información almacenada en registros electrónicos. En las empresas es muy frecuente que se intenten obtener de manera maliciosa información relevante para la empresa o información personal de loa funcionarios de esta o de los consumidores. El objetivo de la seguridad informática según Jean- Marc Royer en el libro Seguridad en la informática de empresa Riesgos, amenazas, prevención y soluciones es entregar

“la


protección contra todos los daños sufridos o causados por la herramienta informática y originados por el acto voluntario y de mala fe de un individuo” Dentro de su definición en el texto Ingeniería de proyectos informáticos: actividades y procedimientos de José Salvador Sánchez Garreta cabe señalar algunos aspectos: -

Confidencialidad: La ejecución de la seguridad informática debe garantizar la confidencialidad de la información, también se denomina como la privacidad que deben tener los sistemas de esta manera puede evitar la presencia de intrusos en nuestros sistemas.

-

Integridad: Significa que el sistema no debe modificarse o corromper la información que almacene, o permitir que alguien no autorizado lo haga. Esta propiedad permite asegurar que no se ha falseado la información.

-

Disponibilidad: El grado en que un dato está en el lugar, momento y forma en que es requerido por el usuario autorizado.

Un sistema seguro debe mantener la información disponible para los usuarios. La disponibilidad significa que el sistema, tanto en su parte hardware como software, se mantiene funcionando eficientemente y que es capaz de recuperarse rápidamente en caso de fallo. A modo de conclusión la seguridad informática es muy importante para verificar si la seguridad de nuestros computadores es real y se están cumpliendo los aspectos antes mencionados, que sea privado, que cumpla con la información completa y que a pesar de ser privado pueda estar tan bien disponible. El proceso para realizar auditoria informática es generalmente realizado por informáticos capacitados para auditar. Una de sus mayores ayudas es COBIT uno de los software mas utilizados para realizar la auditoria informática que significa Objetivos de Control para la información y Tecnologías relacionadas. Gran parte del lado informático de las empresas esta dado desde el punto de vista interno de la empresa y los procedimientos y así también toda la organización cuenta con redes, sitios y plataformas donde guardan la información de estas. Es por esto que es necesario que los auditores velen por que en cada uno de los servicios informáticos utilizados en la organización se encuentren seguros de infiltrados, virus o de la obtención de claves por extraños. Para incorporar esta área ala auditoria existe este software.


COBIT es un conjunto de buenas prácticas para el manejo de información que ha sido creado por la Asociación para la Auditoria y Control de Sistemas de Información,(ISACA), y el Instituto de Administración de las Tecnologías de la Información (ITGI) Las grandes auditorias a nivel mundial también se procuran de que cada empresa cumpla con una seguridad en sus sistemas y para eso dentro de sus servicios de auditoria cuentan con una parte la que dedican a poder evaluar la vulnerabilidad de los sistemas que se encuentran en la organización realizando pruebas para poder verificar que por ejemplo las claves no puedan ser descifradas con facilidad, también se desarrollan evaluaciones o pruebas de intrusión interna para ver quienes son las personas que han ingresado a los sistemas y si son o no parte de esa área o corresponde a las personas que manipulan estos sistemas. Por ultimo realizan servicios informáticos forenses y estos consisten en la investigación de un posible fraude o pérdida de información voluntaria realizada por un funcionario o externo. Seguridad informática de tipo física y lógica La seguridad informática tiene relación con proteger toda la infraestructura computacional y lo relacionado con ella, es decir, todo lo que la organización considere un activo que en manos de terceros puede significar un riesgo para ésta. La organización debe hacerse las siguientes preguntas: -

¿Qué se necesita proteger?

-

¿De qué se necesita proteger?

-

¿Cómo se va a proteger?

Existen ataques o amenazas de tipo intencional como no intencional, los más comunes pueden ser: Ataques o amenazas intencional: -

Suplantación de Identidad

-

Acceso no autorizado a PC, redes, archivos, etc.

-

Divulgación de contenido, dirigirlo a un destinatario no autorizado

-

Modificación de mensaje para que el destinatario tome una decisión distinta a la realidad.

Ataques o amenazas no intencionales:


-

Disfunciones en los sistemas

-

Fallos en hardware, software, etc.

-

Operaciones indebidas por parte de un usuario inexperto

Es necesario entonces que cada organización cuente con una seguridad integral, la que abarca tanto una seguridad física como lógica. Seguridad física: se refiere a la infraestructura computacional así como hardware, software, metadatos, bases de datos, archivos, etc. como también los edificios e instalaciones que la contienen. La seguridad física debe resguardad de amenazas tales como: -

Crackers, scripts kiddies, script boys, viruxer, etc.

-

Piratas informáticos o hackers

-

Incendios, desastres naturales como tormentas e inundaciones.

-

Daños o amenazas producidas por el hombre.

-

Sabotajes internos y externos deliberados.

Seguridad lógica: corresponde a la seguridad aplicada en el uso de software, la protección de los datos, los procesos y programas. Además de crear barreras y procedimientos que resguarden el acceso ordenado y autorizado de los usuarios a la información Algunos métodos de control para mantener una seguridad lógica son: -

Restringir los accesos a programas y archivos.

-

Que los operadores no puedan modificar programas ni archivos que no correspondan.

-

Asegurar la utilización correcta de datos, archivos y programas.

-

Cerciorar que la información enviada sea recibida por el destinatario correcto y no a otro.

-

Disponer de sistemas alternativos de emergencia para la transmisión de información.

Estándares internacionales para auditar sistemas de información Los estándares internacionales que existen hoy en día para realizar auditorias a los sistemas de información son:


COBIT, Objetivos de Control de las Tecnologías de la Información: Desarrollado por la Information Systems Audit and Control Association (ISACA). Es una metodología usada para evaluar el departamento de informática de una organización, dentro de los objetivos de esta metodología se encuentra el de garantizar la seguridad de los sistemas. CMMI (Capability Maturity Model Integration): Modelo de mejoras de los procesos destinados a la construcción de software. Entrega elementos que permiten determinar la efectividad de estos. ISO 27002: (también se puede encontrar como ISO/IEC 17799) esta norma se enfoca a la seguridad de la información en las organizaciones, para lograr reducir las probabilidades de ser afectados por robo, daño o pérdida de información. ISO 27001: Esta norma demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. ISO 9000-2000: Norma creada para establecer sistemas de gestión de calidad, en la actualidad es el más reconocido a nivel mundial. ISO 20000: Norma que entrega una guía en la realización de auditorias informáticas y como remediar hallazgos identificados según normas internacionales


Ensayo Auditoria y Seguridad Informatica