auditoria informática profesor: hector schulz pérez asignatura: base de datos integrantes:...
TRANSCRIPT
![Page 1: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/1.jpg)
Auditoria Informática
Profesor: Hector Schulz Pérez Asignatura: Base de Datos
Integrantes:
Valericio Carrasco Yáñez
Humberto Álvarez Vilches
Cristián Pino Torres
![Page 2: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/2.jpg)
Introducción
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
![Page 3: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/3.jpg)
Auditoría
La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo
![Page 4: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/4.jpg)
Tipos de Auditorias
Áreas Específicas Explotación Desarrollo Sistemas Comunicaciones Seguridad
Áreas Generales Interna Dirección Usuario Seguridad
![Page 5: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/5.jpg)
Metodología de auditoría informática
Alcance y objetivos Estudio inicial del entorno auditable Determinación de los recursos Elaborar plan y programa de trabajo Actividades de auditoría Informe final Carta de presentación del informe
![Page 6: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/6.jpg)
Objetivo General de Auditoría de sistemas
Operatividad 100%
![Page 7: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/7.jpg)
Herramientas para Auditoría informática
Cuestionarios Entrevistas Check list (de rango y binario) Trazas Software de interrogación
![Page 8: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/8.jpg)
Consideraciones para el éxito del análisis crítico
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento)
Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar
constantemente. Criticar objetivamente y a fondo todos los
informes y los datos recabados.
![Page 9: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/9.jpg)
Investigación preliminar
No tiene y se necesita. No se tiene y no se necesita. Se tiene la información pero: No se usa. Es incompleta. No está actualizada. No es la adecuada. Se usa, está actualizada, es la adecuada y está
completa
![Page 10: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/10.jpg)
Informe
Después de realizar los pasos anteriores y de acuerdo a los resultados obtenidos, el auditor realizará un informe resultante con observaciones y/o aclaraciones para llevar a cabo dentro de las áreas involucradas para el mejor funcionamiento del sistema.
![Page 11: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/11.jpg)
Auditoria de Datos
La auditoría de datos habilita a una organización la identificación de quien crea, modifica, elimina y accede los datos, cuando y como son accedidos. O bien, la estructura de los datos.
La sola existencia de auditoría de datos tiene un efecto disuasivo en los intrusos de los datos.
![Page 12: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/12.jpg)
Auditoria de datos: una forma de vida
Su presencia debe ser parte integral de las operaciones de los servicios informáticos en una organización en el día a día.
![Page 13: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/13.jpg)
Auditoría de datos: Mejores prácticas (1)
Responsabilidad segregada El equipo responsable de auditar un sistema debe ser
distinto a aquel que lo administra y lo utiliza Mantener el Sistema de Auditoría de Datos
Independiente Nada ni nadie debe ser capaz de alterar un log de
auditoría Hacerla Escalable, Ampliable y Eficiente
La plataforma de auditoría de datos debe acomodarse al crecimiento y la adición de nuevas fuentes de datos
![Page 14: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/14.jpg)
Auditoría de datos: Mejores prácticas (2)
Hacerla Flexible Los requerimientos de auditoría cambiarán;
asegúrese que se pueda responder rápida y fácilmente a esos cambios desplegando un marco de auditoría flexible
Gestión Centralizada Una plataforma de auditoría de datos debe ser capaz
de auditar múltiples bases de datos en múltiples servidores físicos
![Page 15: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/15.jpg)
Auditoría de datos: Mejores prácticas (3)
Asegurar la Plataforma de auditoría de Datos La plataforma de auditoría por si misma no debe tener
“puertas traseras de acceso” a sus propios datos ni permitir el acceso por dichas puertas traseras a los datos de cualquiera de las bases de datos que monitorea.
Identificación de los Datos Se debe establecer y mantener un inventario de todos
los datos, incluyendo aquellos provenientes de fuentes externas
![Page 16: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/16.jpg)
Auditoría de datos: Mejores prácticas (4)
Análisis de los Datos Determine los roles, vulnerabilidades y
responsabilidades relativas a todos los datos. Hacerla Completa
La política de auditoría de datos necesita abarcar todos los datos dentro de una organización, incluyendo todos los datos de aplicación, los datos de comunicaciones incluyendo los registros de correos electrónicos y mensajes instantáneos, registros de transacciones y toda la información que pasa hacia o alrededor de una organización tanto desde dentro como desde afuera
![Page 17: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/17.jpg)
Auditoría de datos: Mejores prácticas (5)
Habilitación de Reportes y Análisis Establecimiento de Patrones de Uso Normal Establecimiento de una Política de
Documentación y Revisión La auditoría de datos implementada directamente
para satisfacer mandatos de reguladores debe referirse directamente a los elementos de las regulaciones que satisface: (Sarbanes-Oxley, HIPAA, GLBA, etc.).
![Page 18: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/18.jpg)
Auditoría de datos: Mejores prácticas (6)
Monitorear, Alertar, Reportar Dependiendo del riesgo, se deben atar los eventos o
datos anormales a los sistemas de alerta y, en algunos casos disparar alarmas en tiempo real.
Incrementar y Complementar la Seguridad La auditoría de datos incrementa y complementa los
niveles de la seguridad de los sistemas de IT Respaldo y Archivo
Los LOG de Auditoría, por si mismas, deben ser respaldadas y lo ideal, almacenadas en una sitio remoto
![Page 19: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/19.jpg)
Auditoría de datos: Mejores prácticas (7)
Crear Procedimientos para la Operación y para la Recuperación ante Desastres Es necesario crear políticas y procedimientos que
gobiernen cómo se accede a las pistas de auditoría y cómo se recuperan los datos perdidos
Todas las operaciones de recuperación también deben ser auditadas.
![Page 20: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/20.jpg)
Conclusión
El acceso no autorizado o cambios desconocidos a los datos de una organización pueden debilitar o arruinar una empresa.
El robo, error, pérdida, corrupción o fraude de los datos puede costarle a una compañía su reputación, sus ganancias, o ambos.
La auditoría de datos no solamente protege los datos de una organización, sino que asegura la responsabilidad, la recuperación y la longevidad de los sistemas que dependen de los datos.
![Page 21: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/21.jpg)
Estándares de Seguridad de la información
ISO/IEC 27000-series COBIT ITIL
![Page 22: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/22.jpg)
ISO/IEC 27000-series
La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).
![Page 23: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/23.jpg)
COBIT
Objetivos de Control para la información y Tecnologías relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology)
Es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoria y Control de Sistemas de Información, (ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute) en 1992.
![Page 24: Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino](https://reader033.vdocumento.com/reader033/viewer/2022061215/54a90970497959e62b8b4db7/html5/thumbnails/24.jpg)
ITIL
La Information Technology Infrastructure Library ("Biblioteca de Infraestructura de Tecnologías de Información"), frecuentemente abreviada ITIL.
Es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI