Upload File

capitulo 3_auditoria_informatica

46
UNIVERSIDAD TÉCNICA ESTATAL DE QUEVEDO FACULTAD DE CIENCIAS DE LA INGENIERÍA ESCUELA DE INFORMÁTICA AUDITORIA INFORMÁTICA TEMA: Metodologías, de control interno, seguridad y auditoria informáticaINTEGRANTES: > Alay Enrique > Lema Cesar > Oña Franklin

Upload: franklin-efrain-ona-arequipa

Post on 24-Sep-2015

213 views

Category:

Documents


0 download

Report

DESCRIPTION

Auditoria Informatica

TRANSCRIPT

Presentacin de PowerPoint

UNIVERSIDAD TCNICA ESTATAL DE QUEVEDOFACULTAD DE CIENCIAS DE LA INGENIERAESCUELA DE INFORMTICAAUDITORIA INFORMTICATEMA:Metodologas, de control interno, seguridad y auditoria informtica

INTEGRANTES:> Alay Enrique> Lema Cesar> Oa FranklinRecursos del sistema

Los recursos son los activos a proteger del sistema informtico de la organizacin.

Existen diferentes tipos de recursos:

Hardware (HW) : Servidores, estaciones de trabajo, equipos, etc. Software (SW): Sistemas operativos, herramientas ofimticas, herramientas de gestin, etc.Elementos de comunicaciones: Dispositivos de conectividad, switches, routers, etc.Informacin que se almacena, procesa y distribuye.Locales y oficinas donde se ubican los recursos fsicos y desdelos que acceden los usuarios finales.Personas que utilizan los equipos.Imagen y reputacin de la organizacinMtodo y metodologas

TerminoSignificadoMtodoModo ordenado y sistemtico de proceder para llegar a un resultado.MetodologaConjunto de mtodos que se siguen en una disciplina cientfica o en un estudio que permite abordarlo de forma organizada.

Que es la seguridad de los sistemas de informacin

Relacin de seguridad de SI con la auditoria

Relacin de seguridad de SI con la auditoriaTODOS LOS FACTORES DE LA PIRAMIDE INTERVIENEN EN LA COMPOSICION DE UNA CONTRAMEDIDAHERRAMIENTASTECNOLOGIA DE LA SEGURIDADPROCEDIMIENTOS DE CONTROLOBJETIVOS DE CONTROLMETODOLOGIASLA ORGANIZACIONNORMATIVIDAD

LA NORMATIVADebe definir de forma clara y precisa todo lo que debe existir y ser cumplido , tanto desde el punto de vista conceptual, como prctico, desde lo general a lo particular.

Debe inspirarse en :PolticasMarco jurdicoPolticas y normas de la empresaExperienciaPrcticas profesionales

LA ORGANIZACIONLa integran las personas con funciones especificas y con actuaciones concretas, procedimientos definidos metodolgicamente y aprobados por la direccin de la empresa. Sin el nada es posible.

FuncionesProcedimientosPlanes (seguridad, contingencia, auditoras, etc.)LAS METODOLOGIASSon necesarias para desarrollar cualquier proyeto que nos propongamos de manera ordenada y eficaz.

LOS OBJETIVOS DE CONTROLSon los objetivos a cumplir en el control de procesos y solamente de un planteamiento correcto de los mismos saldrn unos procedimientos eficaces y realistas.

LOS PROCEDIMIENTOS DE CONTROLSon los procedimientos operativos de las distintas reas de la empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios objetivos de control, y por lo tanto deben estar documentados y aprobados por la Direccin.

TECNOLOGIA DE SEGURIDADDentro de la tecnologa de seguridad estn los elementos, ya sean hardware o software, que ayudaran a controlar un riesgo informtico. (cifradores, autentificadores, equipos tolerantes al fallo etc.)LAS HERRAMIENTAS DE CONTROLSon elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objeto de control.

Organizacin interna de la Seguridad InformticaComit de Seguridad de la Informacin Seguridad corporativa. Control Interno. Dpto. de Informtica. Dpto. de Usuarios. Direccin del Plan de SeguridadAuditora Informtica Plan Auditor Dictamenes de AuditoriaControl Informtico Responsable de Ficheros Controles generales Informticos

METODOLOGIAS DE EVALUACION DE SISTEMASDOS METODOLOGIAS A EVALUAR:Auditora Informtica solo identifica el nivel de exposicin por falta de controles.Anlisis de Riesgos facilita la evaluacin de los riesgos y recomienda acciones en base al costo-beneficio de las mismas.Definiciones para profundizar en estas metodologasAmenaza una persona o cosa vista como posible fuente de peligro o catstrofe (inundacin, incendio, robo de datos, sabotaje, agujeros publicados, etc.)Vulnerabilidad la situacin creada, por la falta de uno o varios controles, con los que la amenaza pudiera acceder y as afectar al entorno informtico (falta de control de acceso lgico, de versiones, inexistencia de un control de soporte magntico, etc.).

Riesgo la probabilidad de que una amenaza llegue a acceder por una vulnerabilidad (los datos estadsticos de cada evento de una base de datos de incidentes).Exposicin o Impacto la evaluacin del efecto del riesgo. (es frecuente evaluar el impacto en trminos econmicos, aunque no siempre lo es, como vidas humanas, imgenes de la empresa, honor, etc.).Todos los riesgos que se presenta podemos:EvitarloTransferirloReducirloasumirloCuantitativas basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo.Cualitativas basadas en un criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a experiencia acumulada.Tipos de metodologaMETODOLOGIAS MAS COMUNESLas metodologas ms comunes de evaluacin de sistemas que podemos encontrar son de anlisis de riesgos y de diagnsticos de seguridad, las de plan de contingencias, y las de auditora de controles generales.PLAN DE CONTINGENCIASUna estrategia planificada constituida por:Recursos de respaldoOrganizacin de emergenciaProcedimientos de actuacin restauracin progresiva y gil de los servicios de negocio por una paralizacin total o parcial de la capacidad operativa de la empresa.FASES DE UN PLANFase 1: Anlisis y diseoFase 2: Desarrollo del planFase 3: Pruebas y mantenimiento

CONTROL INTERNO INFORMATICO. SUS MTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL. La Funcin de ControlLa tendencia generalizada es contemplar al lado de la figura del auditor informtico, la de control interno informtico. El rea Informtica monta los procesos informticos seguros.El Control Interno monta los controles. La Auditoria Informtica evala el grado de control.

El control informtico es el componente de la actuacin segura entre los usuarios, la informtica y control interno.

DIFERENCIAS ENTRE AUDITORIA Y CONTROL INTERNO INFORMTICO

LA AUDITORA INFORMTICA

* Tiene la funcin de vigilancia y evaluacin mediante dictmenes y todas las metodologas van encaminadas a esta funcin. * Evalan eficiencia, costo y seguridad en su ms amplia visin. * Operan segn el plan auditor. * Establecen planes con tiempos definidos y ciclos completos. CONTROL INTERNO INFORMTICO

CONTROL INTERNO INFORMTICO

* Funciones de control dual con otros departamentos.* Tiene funciones propias ( Administracin de la Seguridad lgica , etc ...)* Responsable del desarrollo y actualizacin del plan de contingencias, manuales de procedimientos y plan de seguridad.* Control de calidad del servicio informtico.CLASIFICACIN DE LA INFORMACIONENTIDAD DE INFORMACIN: Objetivo a proteger en el entorno informtico, y que la clasificacin de la informacin nos ayudar a proteger especializando las contramedidas segn el nivel de confidencialidad o importancia que tengan. Entre las entidades de informacin se encuentra la jerarquas que a su vez se clasifican de la siguiente manera:

- Altamente Confidencial.- Confidencial- RestringidaMETODOLOGALOS PASOS DE LA METODOLOGA SON LOS SIGUIENTES:1. Identificacin de la informacin.2. Inventario de entidades de informacin residentes y operativas ( Programas, Ficheros de Datos, Estructuras de Datos, Soportes de Informacin, etc...3. Identificacin de Propietarios ( Los que necesitan para su trabajo, usan o custodian la informacin )4. Definicin de jerarquas de Informacin. ( Antes mencionadas )5. Definicin de la matriz de Clasificacin.6. Confeccin de la matriz de Clasificacin.7. Realizacin del plan de Acciones.8. Implantacin y Mantenimiento.METODOLOGAFase 1.- Definicin de Objetivos de Control. ( Tres Tareas )Tarea 1. Anlisis de la Empresa.- Estudio de los procesos, organigramas y funcionesTarea 2. Recopilacin de Estndares.- Todas las fuentes de informacin necesarias para conseguir definir los objetivos de control a cumplir. Tarea 3. Definicin de los Objetivos de Control. METODOLOGAMETODOLOGAFase II.- Definicin de los ControlesTarea 1. Definicin de los Controles.- Con los Objetivos de Control Definidos, analizamos los procesos y vamos definiendo los distintos controles que se necesiten.Tarea 2. Definicin de Necesidades Tecnolgicas ( HW y Herramientas de control )Tarea 3. Definicin de los Procedimientos de Control.- Se desarrollan los distintos procedimientos que se generan en las reas usuarias, informtica, control informtico y control no informtico.Tarea 4.- Definicin de las Necesidades de Recursos Humanos Fase III.- Implantacin de los ControlesYa definidos los controles, las herramientas de control y los recursos humanos necesarios, no resta mas que implantarlos en forma de acciones especficas.

Una vez terminada la implantacin habr que documentar los procedimientos nuevos y revisar los afectados de cambio. Los procedimientos resultantes sern:

- Procedimientos propios de Control de la Actividad Informtica - Procedimiento de distintas reas usuarias de la informtica, mejorados.- Procedimientos de reas informticas, mejorados.-Procedimientos de control dual entre control interno informtico y el rea informtica ,los usuarios informticos, y el rea de control no informtico. METODOLOGALAS HERRAMIENTAS DE CONTROL Las herramientas de control son elementos software que por sus caractersticas funcionales permiten vertebrar un control de una manera ms actual y ms automatizada. Las herramientas de control mas comunes son : - Seguridad lgica del sistema.- Seguridad lgica complementaria al sistema ( Desarrollado a medida )- Seguridad lgica para entornos distribuidos.- Control de acceso fsico. Control de Presencia. - Control de copias- Gestin de soportes magnticos.- Control de proyectos.- Control de versiones. Control de cambios. ANLISIS DE PLATAFORMASConsiste en inventariar las mltiples plataformas actuales y futuras ( Windows ,Unix, etc...) que mas tarde nos servirn para saber que productos del mercado nos pueden ser vlidos, tanto los productos actuales como los futuros planes que tengan los fabricantes. CATALOGO DE REQUERIMIENTOS PREVIOS DE IMPLANTACINEsta herramienta inventara las limitaciones, as como lo necesario para la implantacin, inventariado como acciones y proyectos, calendarizados, y su duracin para seguimiento y desarrollo. ANLISIS DE APLICACIONESSe trata de inventariar las necesidades de desarrollar INTERFASES con los distintos software de seguridad de las aplicaciones y bases de datos. Estos desarrollos deberan entrar como proyectos a desarrollar en el plan. En este punto conviene ver si el producto / interfaces soporta el tiempo real, o el proceso batch, o sus posibilidades de registros de actividad. INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOSEs importante tomar en cuenta el punto de la situacin de la administracin de la seguridad lgica en los distintos entornos y las caractersticas de las contraseas, as como la operativa tanto de los usuarios como de los distintos sistemas como de las distintas administraciones de seguridad y el control de entrada y reportes. Todo esto para hacer un anlisis de mejoras y prdidas o limitaciones en los nuevos escenarios con los software de control de los entornos distribuidos, segn convenga para elegir el mejor en costo/beneficio. ADMINISTRACIN DE LA SEGURIDADTenemos que considerar si los sistemas nos permiten realizar todas las actividades normales con los criterios de seguridad fsica y lgica requerida por la organizacin. Definir los perfiles y las comunicaciones con cada rea de la empresa para llevar un completo control sobre los miembros de la organizacin. SEGURIDADSEGURIDADSEGURIDADES:Aqu se usa lo clsico en cada producto, que cada persona tenga su contrasea con lmites de longitud para el acceso a dicho producto.

ADQUISICION, INSTALACIN E IMPLANTACION, MANUALES DE PROCEDIMIENTOS DE CONTROL.Con todos los pasos anteriores, lo nico que queda por hacer es comprar el producto, instalarlo e implantar su nuevo esquema de seguridad y desarrollar los procesos de control. TIPOS DE CONTROLESTIPOS DE CONTROLES PARA UNA METODOLOGIA DE AUDITORIA EN UNA APLICACIN:

Antes que nada se debe programar una revisin y estos son los pasos para elaborarla:1) Identificar el rea a revisar2) Identificar las informaciones necesarias para la auditoria y para las pruebas3) Obtener informacin sobre el sistema, aqu se definen los objetivos y el alcance de la auditoria4) Obtener un conocimiento detallado de la aplicacin del sistema5) Identificar los puntos de control crticos en el sistema6) Diseo y elaboracin de los procedimientos de la auditoria Ejecucin de pruebas en los puntos crticos de control. TIPOS DE CONTROLESCONTROLES DE PREPARACION DE DATOS:

Aqu se revisan los procedimientos escritos para iniciar, autorizar, recoger, preparar y aprobar los datos de entrada en la forma de un manual de usuario, as como revisar los documentos fuente. Comprobar la existencia y seguimiento de calendarios de entrada de datos y de distribucin de informes.Revisar los procedimientos de correccin de errores. TIPOS DE CONTROLESCONTROLES DE ENTRADA DE DATOS: Establecer los procedimientos de entrada y control de datos que explican las revisiones necesarias de entradas y salidas, con fecha lmite. Verificar el uso de mtodos preventivos para evitar la entrada incorrecta de datos funciones de ayuda a la pantalla Determinar que los datos se verifican en el momento de su entrada al sistemaRevisar los procedimientos de correccin de errores. TIPOS DE CONTROLESCONTROLES DE ENTRADA DE DATOS: Establecer los procedimientos de entrada y control de datos que explican las revisiones necesarias de entradas y salidas, con fecha lmite. Verificar el uso de mtodos preventivos para evitar la entrada incorrecta de datos funciones de ayuda a la pantalla Determinar que los datos se verifican en el momento de su entrada al sistemaRevisar los procedimientos de correccin de errores. CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS: CONTROLES DE SALIDA DE DATOS:v Ver si hay establecidos controles internos automatizados de proceso de validacin.v Restriccin de la posibilidad de pasar por encima de procesos de validacinv Aceptacin por los usuarios finales de todas las transacciones y clculos de la aplicacinVer los controles sobre la entrada de datos. CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS: CONTROLES DE DOCUMENTACION: Comprobar que los jefes de rea se informen de faltas de documentacin adecuada para sus empleados. Destruccin de toda la documentacin de antiguos sistemas.La existencia de documentacin de sistemas, programas, de operacin y de usuario para cada aplicacin ya implantada. CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS: CONTROLES DE BACKUP Y REARRANQUEExistencia de un plan de contingenciaIdentificacin de aplicaciones y ficheros de datos crticos para el plan de contingenciaRevisar los contratos del plan de contingencia y backup para determinar su adecuacin y actualizacin.Existencia de procesos manuales para sistemas crticos en el caso de fallo de contingenciaActualizacin del plan de contingencia cuando es necesario; pruebas anuales. CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS: CONTROLES SOBRE PROGRAMAS DE AUDITORIA:Uso de software de auditoria nicamente por personas autorizadas.Participacin del auditor en la adquisicin o modificacin de paquetes de software de auditora.Revisin de tablas de contraseas para asegurar que no se guardan identificaciones y contraseas de personas que han causado baja. CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS: CONTROLES DE LA SATISFACCION DE LOS USUARIOS:Disponibilidad de polticas y procedimientos sobre el acceso y uso de la informacin.Resultados fiables, completos, puntuales y exactos de las aplicaciones.Satisfaccin de los usuarios con la informacin que produce la aplicacin.Se elaboran las conclusiones basadas sobre la evidencia; lo que deber ser suficiente, relevante, fiable, disponible, comprobable y til.


Uzumaki Tomo 03 Capitulo Extra -El capitulo perdido-

AUTOR: BOLILLO GOMEZ. 1.CAPITULO 1°: AGUA 2.CAPITULO 2°: VEGETALES 3.CAPITULO 3°: ANIMALES. 4.CAPITULO 4° HOMBRE 5.CAPITULO 5° RUIDO 6.CAPITULO 6° TECNOLOGIA

Stefany Garzón M.. CAPITULO I INTRODUCCIÓN CAPITULO II MARCO TEORICO CAPITULO III SIMULACIÓN Y ANÁLISIS DE CONVERSORES CAPITULO IV CONCLUSIONES Y RECOMENDACIONES

CAPITULO IV 37 CAPITULO IV

INGENIERÍA DEL SOFTWARE - alelopj.weebly.com · parte cuarta: ingenieria del software orientad a a objetos capitulo 20. capitulo 21. capitulo 22. capitulo 23. capitulo 24. conceptos

Sara ShepardSara Sheparddd · Capitulo 23 171 Capitulo 24 177 Capitulo 25 184 Capitulo 26 193 Capitulo 27 198 Capitulo 28 204 Capitulo 29 212 Capitulo 30 218 Capitulo 31 224 Capitulo

1 ÍNDICE CAPITULO I DISPOSICIONES GENERALES CAPITULO II …

REGLAMENTO AMBIENTAL PARA · capitulo iv de la explotacion capitulo v del transporte capitulo vi de la industrializacion capitulo vii del mercadeo y distribucion capitulo viii de

Capitulo 2.4 y capitulo 4 jose huauya huamani

TITULO TERCERO Condiciones de Trabajo CAPITULO I Disposiciones generales CAPITULO II Jornada de trabajo CAPITULO III Días de descanso CAPITULO IV Vacaciones

CAPITULO 05 leninger CAPITULO 05 leninger CAPITULO 05 leninger CAPITULO 05 leninger CAPITULO 05 leninger CAPITULO 05 leninger CAPITULO 05 leninger CAPITULO 05 leninger CAPITULO 05

LaGenteDelLibro.Net Índice...2inyildeisaal-masihnarradopormateo Índice lagentedellibro.net introducciÓn 3 capitulo 15 capitulo 29 capitulo 313 capitulo 415 capitulo 519 capitulo

Caratula, Investigacion Preliminar Capitulo I, Capitulo II

CAPITULO 1 PROCESO DE FUSIÓN Y ADQUISICIÓN CAPITULO 1

CAPITULO V. Modelación y Análisis Estructural CAPITULO V

INDICE CAPITULO I: INTRODUCCION CAPITULO II: MARCO DE

Capitulo i hasta capitulo vi

CAPITULO I : EL JOVEN STALIN CAPITULO II: EN EL PARTIDO ...a-Política.pdf · capitulo ii: en el partido bolchevique capitulo iii: entre febrero y octubre de 1917 capitulo iv: stalin,

PRESUPUESTO DEL EJERCICIO - Benidorm€¦ · CAPITULO 6 Inversiones reales 2.500.502,74 CAPITULO 7 Transferencias de capital 0,00 CAPITULO 8 Activos financieros 227.850,00 CAPITULO

ÍNDICE CAPITULO 1:INTRODUCCIÓN CAPITULO 2: MARCO

Capitulo 9 - Capitulo 11

Historia de Apple Computer, Inc.. AGENDA CAPITULO 1 CAPITULO 2 CAPITULO 3

TABLA DE CONTENIDO · TABLA DE CONTENIDO . Preámbulo . Capitulo 1: Disposiciones Iniciales . Capitulo 2: Definiciones Generales . Capitulo 3: Comercio de Mercancías . Capitulo 4:

4.0 Introducción del capitulo 4.0.1 Introducción del capitulo€¦ · CAPITULO 4 Capa de Transporte del modelo OSI 4.0 Introducción del capitulo 4.0.1 Introducción del capitulo

Sinopsis Capitulo 1 Capitulo 2 Capitulo 3 Capitulo 4 ... · ҈ Capitulo 1 ҈ Capitulo 2 ҈Capitulo 3 ... desayuno y pensando sobre mi tercero. Y el siguiente minuto, ... Porque me

Humphrey La Bella Durmiente Capitulo 1 y Capitulo 2

CAPITULO I – CONTEXTO REGIONAL Y NACIONAL CAPITULO II – …

Capitulo 11: Silverthorn Capitulo 60: Guyton

INDICE TITULO PRIMERO CONSEJO, SOCIOS, CUOTAS E …...capitulo ii consejo de administraciÓn capitulo iii socios del club capitulo iv cuotas capitulo v requisitos de admision capitulo

CAPITULO 1 INVENTARIOS En este capitulo hablaremos de los

INDICE CAPITULO I: INTRODUCCION CAPITULO II: MARCO …

6.0 Introducción del capitulo 6.0.1 Introducción del capitulo

Cristo En El Islam - muslim-library.com · capitulo 2: jesÚs en el corÁn capitulo 3: madre e hijo capitulo 4: la buena noticia capitulo 5: las versiones bÍblicas y coranicas capitulo

I.2. CONSEJO SOCIAL - UBU€¦ · capitulo 8; 0,00% capitulo 9; 1,46% gastos por capÍtulos capÍtulo 1 capÍtulo 2 capitulo 3 capÍtulo 4 capÍtulo 6 capitulo 8 capitulo 9 capitulos

CAPITULO II. Marco Teórico CAPITULO II MARCO TEORICO