control de la informatica · 2019-02-09 · 5º generación 5. la 5º generación, de 1980 a 1990...
TRANSCRIPT
Víctor Andrés Ochoa Correa
CONTROL DE LA INFORMATICA
• Ingeniero de Sistemas• Especialista en Seguridad Informática
• Magister en Gestión de las TI• Auditor Interno ISO 9001 y ISO 27001
• Bucaramanga Febrero de 2019
Agenda
• Presentación
• Historia de la Informática
• Generalidades de la Informática
• Auditoria Informática
• Seguridad Informática
• Nuevas Tecnologías
• Evaluación
HISTORIA DE LA INFORMATICA
EL ABACO
El Abaco quizá fue el primer dispositivo mecánico de contar que existió, se calculo que tuvo su origen el en año 400 A.C. consistía en un marco rectangular de madera con dos niveles de hilos paralelos con esferas ensartadas.
CALCULADORAS MECANICAS
MAQUINA DE PASCALEn el año 1642 el filosofo y matemático francés Blaise Pascal invento una maquina para sumar y restar números hasta por un máximo de 7 cifras. Estaba construido con base en ruedas giratorias que movían discos con números y el resultado se veía en una ventanilla.
MAQUINA DE LEIBNIZEn el año 1671 el matemático y filosofo alemán Gottfried Leibniz diseño otro tipo de calculadora con base en cilindros o piñones dentados de varias longitudes, perfeccionando el mecanismo de acarreo automático y superando así a la maquina de Pascal. La maquina de Leibniz podía realizar multiplicaciones, divisiones y extraer raíces cuadradas. Cabe mencionar que Leibniz desarrollo la teoría del sistema binario y realizo las primeras investigaciones para desarrollar la lógica formal.
MAQUINAS DE BABBAGE
Maquina diferencial.
Diseñada con fundamentos mecánicos, basados en ruedas dentadas, para la resolución de funciones y obtención de tablas de dichas funciones
MAQUINAS DE BABBAGEMaquina analítica.
Teóricamente similar a una computadora actual, disponía de un programa, una memoria, UC, ALU, periféricos de entrada y de salida. Era una computadora de propósito general que podía multiplicar, sumar y dividir.
CHARLES BABBAGE
Visionario ingles que hubiera podido acelerar el desarrollo de las computadoras. Adelanto la situación del hardware computacional. Debido a sus diseños es considerado como el padre de la informática.
MAQUINA ELECTROMECANICA DE COMPUTO.
Maquina de Hollerit
Herman Hollerit empleado de la oficina de censos de Estados Unidos pensando en facilitar la tabulación de los datos desarrollo un método que sirvió de base al posterior almacenamiento de datos mediante tarjetas perforadas.
LAS PRIMERAS COMPUTADORAS.
El ABC
El doctor John V. Atanasoff, catedrático de la universidad estatal de Iowa desarrollo la primera computadora digital electrónica construida entre los años 1937 a 1942. llamo a su invento Atanasoff Berry Computer.
ENIAC
Maquina que se desarrollo para calcular tablas de trayectoria para el ejercito de Estados Unidos. Fue construida para aplicaciones de la 2 guerra mundial
EDVACUtilizo el concepto de programa almacenado que permitía la lectura de un programa en la memoria de la computadora y después la ejecución de las instrucciones del mismo sin tener que volverlas a escribir. Desarrollada por John Von Neumann considerado como el padre de la arquitectura moderna de las computadoras.
GENERACIONES DE LA INFORMATICA
1. La 1º generación, de 1940 a 1952, la constituyen las maquinas diseñadas a base de válvulas de vacío, la aplicación que se les dio fue en los campos de la
ciencia y militar, el lenguaje utilizado en estas maquinas era el lenguaje de máquina (conjunto de códigos binarios) y la unidad de almacenamiento era un
tambor que giraba rápidamente.
1º generación
2º generación
2. La 2º generación, de 1952 a 1964, la constituyen las maquinas diseñadas a base de transistores para procesar información, la aplicación que se les dió fue en los campos de laboratorio y se comenzó a usar para propósito general, el lenguaje
utilizado en estas máquinas era el lenguaje de alto nivel como COBOL y FORTRAN y la unidad de almacenamiento era de redes de núcleos magnéticos.
3º generación
3. La 3º generación, de 1964 a 1970, la constituyen las maquinas diseñadas a base de circuitos integrados, la aplicación que se les dió
fue en los campos de tareas de procesamiento y análisis matemáticos, el lenguaje utilizado en estas maquinas era de lenguajes de programación de alto nivel y la unidad de almacenamiento eran los chips (contiene los componentes electrónicos en miniatura llamados
semiconductores).
4º generación
4. La 4º generación de 1971 a 1980, la constituyen las maquinas diseñadas a base de microprocesadores (miniaturización de los
circuitos electrónicos), la aplicación que se le dió fue en los campos de uso personal (aplicaciones que afectan prácticamente a todos los
campos de la actividad humana), el lenguaje utilizado en estas maquinas era de bases de datos y la unidad de almacenamiento eran
los chips de silicio.
5º generación
5. La 5º generación, de 1980 a 1990 (algunos consideran que termino en 1990, otros que sigue hasta la actualidad), la constituyen las maquinas diseñadas a
base de diversos microprocesadores, la aplicación que se le dió fue en los campos de las grandes, medianas, pequeñas empresas y entre los usuarios
particulares de computadoras, el lenguaje utilizado en estas maquinas era el lenguaje natural y lenguajes de programación, y la unidad de almacenamiento
era en dispositivos magneto ópticos con gran capacidad de gigabytes.
La 6º generación de las computadoras
La 6º generación se podría llamar a la era de las computadoras inteligentes basadas en redes neuronales artificiales o "cerebros artificiales". Serían
computadoras que utilizarían superconductores como materia-prima para sus procesadores, lo cual permitirían no malgastar electricidad en calor
debido a su nula resistencia. La ganancia de performance sería de aproximadamente 30 veces la de un procesador de misma frecuencia que
utilice metales comunes. Ésta generación esta en desarrollo.
Agenda
• Presentación
• Historia de la Informática
• Generalidades de la Informática
• Auditoria Informática
• Seguridad Informática
• Nuevas Tecnologías
• Evaluación
GENERALIDADES DE LA INFORMATICA
COMPONENTES DE LOS SITEMAS DE INFORMACION
Hardware
Software
Datos
Procedimientos
Usuarios
Documentos
Referencia a la parte física de máquina considerada como el
área tangible.
Referencia a la parte lógica de máquina considerada como el
área intangible.
Representación simbólica (numérica, alfabética, algorítmica,
entre otras) de un atributo o característica de una entidad.
Conjunto de acciones u operaciones que tienen que realizarse
de la misma forma, para obtener siempre el mismo resultado.
Conjunto de permisos y de recursos (o dispositivos) a los
cuales se tiene acceso
Archivo o componentes del software
Nivel conceptual.
La computadora tiene: una entrada de datos, un procesador de datos y una manera de emitir información.
Ejemplo no informático: Creación de una silla
Ejemplo informático: Generación de un boletín de notas
Maderas
Tela
Esponja
puntillas
Proceso
de
CarpinteríaSilla
Nombre alumnos
Notas
Curso
Grupo
Tratamiento Boletín
Fase de Entrada Fase de Proceso Fase de Salida
DATOS PROGRAMA INFORMACIÓN
Conceptos de interés.
DATO: Cualquier elemento que nos sirve como punto de
partida para realizar un cálculo o un proceso.
INFORMACIÓN: Resultado del tratamiento de los datos.
¿Cuál es la diferencia entre dato e información?
Ventaja de los procesos informáticos sobre los manuales.
El dato es la materia prima de la información, pero no
es información en sentido estricto ya que por sí mismo
no nos dice nada, no aumenta nuestro conocimiento.
•Velocidad y capacidad de cálculo
•Capacidad de almacenamiento
•Fiabilidad ......
Representación de caracteres.
Para representar caracteres, el ordenador sólo utiliza ceros y unos.
Para ello se emplea la CODIFICACIÓN
Codificar consiste en
asignar a cada carácter
una combinación de
ceros y unos
¿Cuántos caracteres puedo codificar con un cero o un uno? 2
¿y con dos dígitos? 4
•Al cero le asigno el carácter A
•Al uno le asigno el carácter B00 A
01 B
10 C
11 D
Por ejemplo
Escala de magnitudes.
En informática, la magnitud más pequeña es el BIT. Es la unidad
mínima de información y equivale a un 0 ó un 1.
Sin embargo, la más usada es el BYTE ( 8 bits) que nos permite
representar un carácter.
Magnitud Símbolo Equivalencia
1 byte B 8 bits
1 Kilobyte Kb 1024 bytes
1 Megabyte Mb 1024 Kb
1 Gigabyte Gb 1024 Mb
1 Terabyte Tb 1024 Gb
1 Petabyte Pb 1024 Tb
1 Exabyte Eb 1024 Pb
*1.024
/ 1.024
HARDWARE
HARDWAREEl hardware son todos aquellos componentes físicos de una computadora , todo lo visible y tangible.
El hardware realiza 4 actividades fundamentales : entrada, procesamiento, salida, y almacenamiento secundario.
Las partes en las cuales se divide una computadora son las siguientes:
La unidad central de proceso (CPU)
es el encargado de controlar el flujo de datos y de la ejecución de las instrucciones de los programas sobre los datos, realiza todos los cálculos.
HARDWARE
Se divide en 3 componentes.
1. Unidad de control: gobierna las actividades de la computadora.
2. Unidad aritmético lógica: es la que realiza cálculos y operaciones lógicas .
3. Almacenamiento primario: da al procesador almacenamiento temporal para programas y datos.
HARDWARE
La memoria.
La memoria se divide en primaria y secundaria
Memoria primaria.
a) ROM: memoria de solo lectura, almacena ciertos programas e información que necesita la computadora las cuales están grabadas permanentemente y no pueden ser modificadas por el programador.
b) RAM: memoria de acceso aleatorio, la utiliza el usuario mediante sus programas y es volátil.
HARDWAREMemoria secundaria o de almacenamiento: es un medio de almacenamiento definitivo.
Dispositivos de almacenamiento.a) magnéticos. b) Ópticosc) Óptico – magnéticos.
Dispositivos de entrada: sirven para ingresar datos a la computadora.1. teclado.2. Mouse3. Lápiz óptico4. Micrófono5. Pantalla sensible al tacto (touch screen)6. Lector de código de barras.7. Escáner
HARDWARE
Dispositivos de salida. Son los que se encargan de mandar una respuesta hacia el exterior de la computadora.
1. Monitor
2. Impresora (de impacto, sin impacto, térmicas, inyección de tinta, laser.
3. Bocinas
4. Plotter o graficadoras.
5. Cámaras web.
HARDWARE DE UN ORDENADOR PC• Está compuesto básicamente por:
– Torre, dentro de la cual se encuentra la fuente de alimentación y la placa base (microprocesador, memoria RAM, puertos, chipset, memoria BIOS, etc)
– Periféricos de entrada: Permiten que el usuario se comunique con el ordenador. Son: teclado, ratón, micrófono, etc..
– Periféricos de salida: Permiten que el ordenador se comunique con el usuario. Son: monitor, impresora, altavoces, etc..
– Unidades de almacenamiento: Son los dispositivos que permiten almacenar los programas y archivos de forma permanente ( cuando se apaga el ordenador no desaparecen)
Hardware
• 1.Monitor• 2. Placa base• 3. Microprocesador• 4. Memoria RAM• 5. Tarjetas de expansión.• 6. Fuente de alimentación• 7.Unidad CD/DVD• 8.Disco duro• 9. Teclado• 10. Ratón
FUENTE DE ALIMENTACIÓN• Es un dispositivo que
transforma la tensión de red (220 voltios alternos) en el voltaje necesario para alimentar los dispositivos electrónicos del PC (corriente continua y bajo voltaje)
Dispositivos de la placa base• Microprocesador: Es un chip
electrónico que procesa toda la información. Es el cerebro del ordenador. Este chip debe de ser refrigerado por un ventilador. Las características que indican su velocidad son:– El número de instrucciones que
puede ejecutar en un segundo (en gigahercios)
– El número de bits que puede usar en cada operación.
MEMORIA RAM
• Es la memoria donde se escriben las instrucciones que debe ejecutar el microprocesador.
• Sin memoria RAM el ordenador no puede funcionar, pues no existe un lugar donde almacenar aquello que debe de leer el microprocesador.
• Cuanta mas memoria RAM tenga un PC mas rápido irá, pues menos accesos a las unidades de almacenamiento deberá hacer.
Unidades de almacenamiento
• Son los dispositivos donde se almacenan los programas y archivos de forma permanente, es decir, cuando se apaga el PC, los datos continúan guardados.
• Pueden ser:
– Magnéticas: disco duro, disquete.
– Ópticas: Unidad CD/DVD/Blue ray
– Electrónicas: Pen drive, Memoria SD
SOFTWARE
Es el conjunto de instrucciones electrónicas que le dicen al hardware lo
que debe hacer.
Estos conjuntos de instrucciones también se conocen como programas y
cada uno de ellos se desarrolla para un propósito específico.
Cuando un ordenador usa un programa, se dice que está corriendo o
ejecutando ese programa.
El primer paso para ejecutar un programa es guardarlo en la memoria
RAM.
Definición de software
SOFTWARE
Software de aplicación
Le dice al ordenador cómo realizar tareas específicas para el usuario.
Clasificación del Software
Software de sistema
Le dice al ordenador cómo usar sus propios componentes.
De acuerdo con el propósito para el que fueron desarrollados, los
programas se clasifican en dos categorías:
SOFTWARE
SOFTWARE DE SISTEMA
SOFTWARE DE APLICACION
EDUCAPLAY
https://es.educaplay.com/recursos-educativos/4272569-
control_informatica.html
Agenda
• Presentación
• Historia de la Informática
• Generalidades de la Informática
• Auditoria Informática
• Seguridad Informática
• Nuevas Tecnologías
• Evaluación
AUDITORIA INFORMATICA
AUDITORIA
¨Proceso sistemático, independiente y documentado, para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se
cumplen los criterios de auditoría¨ (ISO 19011)
AUDITORIA
Tipos de Auditorías
Por el origen de quien hace su aplicación
Por el área en donde se hacen
Por área de especialidad
Especializadas en SistemasComputacionales
Por el origen de quien hace su aplicación
Por el área en donde se hacen
Auditoría Financiera / Contable
Auditoría Administrativa
Auditoría Operacional
también denominada auditoría contable. Se
encarga de examinar y revisar los estados
financieros y la preparación de informes de
acuerdo a normas contables establecidas.
Es la revisión de la situación económica de
la empresa, verifica todas las cuentas bien
sean por pagar, por cobrar, gastos y ventas,
realizada por un auditor externo.
Auditoría Integral Es hacer Auditoría Financiera,
Administrativa y operacional.
Evalúa la empresa y su gestión, a fin de
proponer mejoras para aumentar la
eficiencia y eficacia productividad.
Evalúa la Planeación estratégica y el
cumplimiento de los objetivos corporativos
dentro de cada proceso.
Por el área en donde se hacen
Auditoría Gubernamental
Auditoría de Sistemas / Informatica
Es una auditoría pública, se lleva a cabo
por un ente gubernamental con las
competencias de ley para hacerlo.
Es la evaluación exhaustiva mediante
actividades, técnicas y procedimientos,
con el fin de analizar, verificar y forjar
recomendaciones relativas a la
planificación, seguridad y eficacia de la
asistencia informática dentro de la
empresa, en busca del mejoramiento del
mismo.
Auditoría de RRHH
también denominada auditoría contable.
Se encarga de examinar y revisar los
estados financieros y la preparación de
informes de acuerdo a normas contables
establecidas.
Diferencias entre la auditoría administrativa, auditoría contable y auditoria en informática
Propiedades Auditoria Administrativa Auditoria Contable Auditoria Informática
NATURALEZATécnica de control
administrativoTécnica de control
administrativoTécnica de control
administrativo
PROPÓSITO / OBJETIVOEvaluar y mejorar la
administraciónDictamen a los estados
FinancierosEvaluar los recursos
informáticos
ALCANCELa eficiencia y
productividad de el proceso administrativo.
El sistema contableTodas las actividades
informáticas
FUNDAMENTOLa ciencia administrativa y
la normatividad de la empresa.
Principios de contabilidad y normas de auditoria
Normatividad Institucional y legal, Estándares
internacionales.
METODOLOGÍAApoyador en métodos o
estándares de medición de gobierno estratégico.
Técnicas y procedimientos predeterminados.
Técnicas y procedimientos predeterminados.
APLICACIÓNA la empresa y susfunciones básicas
A los estados financierosA todas las áreas de la
empresa
PROYECCIÓN Hacia el Futuro Hacia el Pasado Hacia el Futuro
INFORME Amplio Preciso Amplio y preciso
Por área de especialidad
Auditoría Fiscal
Auditoría Laboral
Auditoría Ambiental
Es el tipo de auditoría encargada de
examinar los hechos con carácter tributario,
puede ser privada aplicada a empresas,
comercios, etc. o gubernamental aplicada a
instituciones públicas o a organismos
dependientes del estado o gobierno.
Son las auditorias cuyos procesos están
orientados hacia la detección de posibles
complicaciones medioambientales, que
pudieran ocasionar el desarrollo de
proyectos, el trabajo de las industrias y
otras.
Es el estudio objetivo, fiable e imparcial
que evidencia el escenario socio-laboral de
una empresa. Teniendo en cuenta la
situación y obligaciones de la empresa,
riesgos por incumplimiento.
Por área de especialidad
Auditoría Caja Menor
Auditoría Medica
Es aquella auditoria que realiza un análisis
detallado de las operaciones de caja
realizadas con dinero en efectivo y
cheques, con la finalidad de contrastar que
el dinero recibido ha sido formalmente
registrado y que los pagos realizados han
sido autorizados apropiadamente.
Es un tipo de auditoria donde se hace una
evaluación periódica y crítica, del servicio y
calidad de la atención médica recibida por
los pacientes en clínicas y hospitales,
llevada a cabo mediante la revisión de las
historias clínicas y el estudio de las
estadísticas hospitalarias.
Especializadas en SistemasComputacionales
Auditoría Informática
Auditoría telecomunicaciones
Auditoría mesa de servicios
Auditoría a la Gestión Informática
Auditoría Gobierno TI
Auditoría en seguridad de la información ISO 27001
Auditoría a sistemas de redes
63
Cualidades de los Auditores
Cualidades Personales
Formación y experiencia
Mantenimiento de la aptitud
Personas abiertas, maduras, con sentido común, tenacidad, realistas y con capacidad de análisis.
Aptitud para ver las situaciones complejasdesde un punto de vista general y con espíritu cooperativo y comunicativo.
Estudios secundarios, conocimientosde las normas aplicables, técnicas deevaluación de pruebas, apreciacionesy de informes. 4 años de experienciapractica (aseguramiento de la calidad).
Estar al día en el conocimiento delas normas relativas a los SGC yen los métodos y procedimientosde las auditorias.
Participar en cursos de formación y/o perfeccionamiento;Etica, moral, buenos valores, principios,
64
Elección del Auditor jefe: Conviene confiar a un auditor la
responsabilidad del equipo auditor y de la propia auditoría. Debe
haber realizado al menos 3 auditorias completas y tener aptitud de
comunicación y gestión del equipo.
Funciones responsabilidades y tareas de los auditores
Responsabilidades Funciones
Del Auditor Jefe.
Del equipo auditor o
auditores.
Del auditado.
Supervisión.
Analizar, revisar y auditar.
El auditado es elemento
pasivo y no realiza ninguna
función.
65
Funciones responsabilidades y tareas de los auditores
AUDITOR JEFE
Responsable final de todas las fases de la
auditoría; debe preparar el plan y presentar
el informe de la auditoría .
Participar en la selección de los miembros
del equipo auditor y presentarlos ante el
auditado.
Definir los requisitos de cada trabajo de la
auditoría. Revisar la documentación del SC.
Dar instrucciones al equipo auditor.
Informar y comunicar al auditado sobre los
resultados de la auditoría, las no
conformidades críticas y los obstáculo
importantes durante el curso de la auditoría.
Funciones
Responsabilidades
66
Funciones, responsabilidades y tareas de los auditores
AUDITORES
Elaborar un informe sobre los resultados de
la auditoria y consignar las observaciones.
Cooperar con el auditor jefe.
Preparar y realizar con eficacia las
responsabilidades asignadas.
Actuar con objetividad y limitarse al ámbito de
la auditoria. Respetar la deontología
profesional.
Recoger y analizar datos para obtener
conclusiones relativas al SC auditado.
Funciones
Responsabilidades
67
Funciones responsabilidades y tareas de los auditores
AUDITADO Informar al personal afectado sobre el objeto
y finalidad de la auditoría; designar a los
mandos de su personal para que acompañen
al equipo auditor.
Poner a disposición del equipo auditor los
medios necesarios para asegurar el
desarrollo optimo de la auditoría.
Cooperar con los auditores para alcanzar los
objetivos de la auditoría.
Determinar e iniciar las acciones correctoras
atendiendo al informe de la auditoría.
Responsabilidades
68
¿Cómo auditar?Revisión preliminar del SGC auditado
-Si el SC no es el adecuado
conviene no continuar con
la auditoría.
-Base para preparar la auditoría y
juzgar el SGC auditado.
Tareas del equipo
auditor
-Conviene asignar a cada auditor
la auditoría de elementos
Específicos del SGC. Esta
asignación será hecha por el
auditor jefe.
Documentos de trabajo
- Listas de verificación para cada
elemento del SGC.
- Formularios para recoger
observaciones y formularios para
consignar evidencias.
Plan de la auditoría
- Conocido con antelación.
- Flexible para permitir cambios
durante la auditoría.
-Debe incluir: objetivos, identidades
del equipo auditor, fecha y lugar de
la auditoría, áreas a auditar...
PREPARACIÓNDE LA AUDITORIA
69
¿Cómo auditar?Reunión inicial- Presentación del equipo auditor
y de un resumen de métodos y
procedimientos a utilizar.
- Confirmar el horario de reuniones
intermedias y final, y la disponibilidad
de medios e instalacio-
nes que se precisen.
Observaciones de
la auditoría
- Documentar todas las observa-
ciones y determinar las que deben
considerarse no conformidades.
- Las no conformidades deben
referenciar los requisitos que se
Incumplen.
Recogida de evidencias
- A través de entrevistas, examen
de documentos y observación de
las áreas afectadas.
- Anotar los indicios de no
conformidad para su posterior
investigación.
.
Reunión final
con el auditado
- Presentar: las observaciones de
la auditoría a la dirección del
auditado y asegurarse de su
comprensión; las conclusiones
del equipo auditor relativas al SC.
-Levantar acta de esta reunión.
EJECUCIÓNDE LA AUDITORIA
70
¿Cómo auditar?
Es responsabilidad del auditor jefe.
El informe tiene por objeto exponer los
hechos, no analizar las causas, ni
recomendar acciones correctoras.
En caso de duda sobre alguna situación
auditada, no considerarla.
Debe contener: objetivo y alcance de la
auditoría, observaciones de no
conformidad, capacidad del SGC para
alcanzar los objetivos definidos, lista de
distribución del informe...
Informe de la Auditoría
71
El auditor debe tener
Retener solo los hechos. No tener en cuenta
rumores o suposiciones.
Tener en todo momento el control de la
auditoría. Preguntar y escuchar, no discutir.
Adaptarse a la situación y al auditado.
Examinar en detalle la documentación.
Procurar buen aspecto; el lenguaje debe ser
simple, preciso y adaptado al interlocutor.
Generalmente el auditor debe escuchar y
mantener un tono de cooperación.
Para estudiar una situación, usar las
tradicionales: ¿qué? ¿cómo? ¿dónde?...
Recomendaciones
practicas
Comportamiento del auditor
72
Fases o etapas de la auditoria.Planeación
Conocimiento y comprensión de la empresa
Objetivos y alcance de la auditoria
Análisis preliminar del control interno
Análisis de los riesgos
Planificación especifica de la auditoria a realizar
Elaboración de programas de Auditoria
Ejecución
Las Pruebas de Auditoria
Técnicas de auditoria / muestreo
Evidencias de Auditoria
Papeles de trabajo
Hallazgos de Auditoria
Informe
Dictamen sobre los estados financieros, áreas
administrativas o el tipo de auditoria realizada.
Informe sobre la estructura del control interno
Conclusiones y recomendaciones resultantes
de la auditoria
Deben detallarse de forma clara y sencilla los hallazgos
encontrados
Seguimiento y control
ACPM
Eficacia y eficiencia de las ACPM
Seguimiento a las recomendaciones
Análisis de las NCP
Fuente: Rodríguez (2006)
Diferencias entre plan de auditoria y programa de auditoria.
Plan de Auditoria Programa de Auditoria
Descripción de las actividades y de los detalles acordados de una
auditoria
Conjunto de una o mas auditorias planificadas para un periodo de tiempo determinado y dirigidas
hacia un propósito especifico
Que vas a hacer en una auditoria e particular (agenda flexible,
horarios aproximados, criterios de la auditoria, etc)
¿Qué vas auditar – alcance: procesos, áreas, clausulas
aplicables, etc? ¿Cuándo vas a auditar? ¿Cuánto durara la
auditoria? Y ¿Por qué / con que objeto auditaras? ¿Quiénes serán
los auditores?
Factores que propician la Auditoría Informática
Leyes gubernamentales.
Políticas internas de la empresa.
Necesidad de controlar el uso de equiposcomputacionales.
Altos costos debido a errores.
Pérdida de información y de capacidades deprocesamiento de datos, aumentando así laposibilidad de toma de decisiones incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad yconfidencialidad de las transacciones de laorganización.
Objetivos generales de la Auditoría en Informática
• Asegurar la integridad, confidencialidad yconfiabilidad de la información.
• Minimizar existencias de riesgos en el uso deTecnología de información
• Conocer la situación actual del área informáticapara lograr los objetivos.
• Seguridad, utilidad, confianza, privacidad ydisponibilidad en el ambiente informático, asícomo también seguridad del personal, losdatos, el hardware, el software y lasinstalaciones.
• Incrementar la satisfacción de los usuariosde los sistemas informáticos, mesa de ayuda.
• Capacitación y educación sobre controles en los Sistemas de Información.
• Buscar una mejor relación costo-beneficiode los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información.
• Licenciamiento SW.
Objetivos generales de la Auditoría en Informática
Según estudio reciente de Price Waterhouse Coopers (PWC), las principales causas de incumplimiento por parte de los clientes en los términos y condiciones de licenciamiento son:
• Complejidad de los acuerdos de licenciamiento y métricas • Serias complejidades en las normas de licenciamiento de cada producto• Reglas de licenciamiento totalmente opuestas para productos populares
(Windows Server y SQL Server)• Mal uso involuntario• Falta de procesos y de herramientas para la gestión de los activos de
software• Falta de educación• El mal uso intencional• Cambios constantes en las reglas de licenciamiento
CAUSAS COMUNES DE INCUMPLIMIENTO EN LICENCIAMIENTO
Tipos de piratería
1. Piratería de usuario final
• Copiar un Software sin Autorización• Utilizar una copia adquirida con
licencia para instalar en varios computadores
• Realizar actualizaciones sin tener copia legal de la versión a actualizar
• Adquirir Software académico para uso comercial
2. Uso excesivo del servidor por parte del cliente
3. Piratería en Internet
• Sitios Web Piratas• Descarga ilegal• “Peer-to-peer”
4. Copias “casi fieles” de CDs, DVDs, y hasta material de empaque
¿Microsoft me puede auditar?
Marco Legal Colombiano
La protección a los Derechos de Autor forma parte de la legislación y ordenamiento jurídico colombiano:
Leyes
• Ley 23 de 1982• Ley 44 de 1993• Ley 603 de 2000• Ley 1273 de 2009
Decretos
• Decreto 2041 de 1991• Decreto 1278 de 1996• Decreto 1360 de 1989• Decreto 162 de 1996• Decreto 460 de 1995
Ley 603: ¿Qué es?
Es la ley que obliga a las empresas colombianas que incluyan en sus reportes de gestión anual una declaración al cumplimiento con las normas de propiedad intelectual.
La Ley 603 de 2000 establece que las compañías deben declarar en los informes de gestión de cada año si cumplen o no con las leyes de protección de los derechos de autor y la propiedad intelectual, y faculta a las autoridades supervisoras correspondientes (DIAN o Supersociedades) para que en el ejercicio de sus funciones verifiquen el cumplimiento de la norma.
La piratería es considerada una evasión de impuestos
¿Quién más me puede auditar?
1. El fabricante directamente (Microsoft, Oracle, Adobe)
2. Entidades de Gobierno• Superintendencia de Industria y Comercio• DIAN• Dirección Nacional de Derechos de Autor
3. Ecosistemas terceros• Abogados• Firmas auditoras Internacionales• BSA (Business Software Alliance)
4. Oportunistas
¿Cómo seleccionan las empresas que van a auditar?
1. Por denuncias de empleados insatisfechos, sitio web anónimo
2. Por noticias (crecimientos, fusiones, etc.)3. Por ciclos atípicos de compra4. Por procesos internos con los fabricantes5. Equipos de Compliance6. Metas de ventas de clientes Non-
compliant7. Modelos de análisis (BI)
Las buenas practicas indican que usted debe:
• Utilice los acuerdos de licencias por volumen cuando sea apropiado
• Trate de evitar la compra de cajas y OEM o documente al fabricante al respecto
• Mejorar el registro y la centralización de los contratos y de compras
• Definir y documentar las políticas de adquisición y reutilización software, perfiles de usuarios y
de estándares de software
• Implementar una solución de inventario para controlar con precisión las instalaciones
• Lleve un registro central de licencias y conciliar contra el uso de las mismas
• Revisar y negociar las cláusulas de auditoría en los contratos de licencia
• Deje conocer sus avances a su Gerente de Cuenta del fabricante
• Apóyese en la interpretación de los Derechos de Uso de los Productos
• Tener una tercera parte para validar sus números, procesos y estrategias (análisis de calidad)
¿CÓMO MANTENERSE FUERA DE LA LISTA?
¿Cómo debo prepararme para una auditoría, cómo recibirla, y qué les puedo exigir?
Si la visita llega a su empresa…
• Generar ambiente de confianza• ¿Encargado de licenciamiento?• ¿Compras centralizadas?• Inventario de licencias• Inventario de software instalado• Diferencias entre inventarios• Plan de compras o desinstalación• Información sobre licenciamiento
que le aclare las dudas a la empresa o entidad
¿Que debo tener?
• Administrador de los Activos de Software
• Inventario basado en una herramienta especializada en Gestión de Activos de Software.
• Informe de usabilidad del software instalado
• Inventario de los derechos de licencias• Pruebas de compra• Fechas de compra• Documento de reconciliación• Certificados de autenticidad
¿Qué pasa si me encuentran software faltante?
Algunas experiencias
• Empresa multada por ilegalidad• Desprestigio de la empresa• El gerente general determinó que el
Director de Sistemas debía pagar la multa o renunciar
• El director fue despedido con justa causa
• Responsabilidad compartida entre Representante Legal y Director de Sistemas.
Otro caso
Agenda
• Presentación
• Historia de la Informática
• Generalidades de la Informática
• Auditoria Informática
• Seguridad Informática
• Nuevas Tecnologías
• Evaluación
SEGURIDAD INFORMATICA
11 septiembre 2001
Conceptos
La Seguridad Informática (S.I.) es la disciplina que se ocupa de diseñar las normas, procedimientos,
métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos
en sistemas informáticos.
La decisión de aplicarlos es responsabilidad de cada usuario.
Las consecuencias de no hacerlo … también.
Principios de Seguridad Informática
Para lograr sus objetivos, la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático:
Confidencialidad
Integridad
Disponibilidad
Principios de Seguridad Informática - Triada
Confidencialidad: Se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
Disponibilidad: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados con la misma toda vez que se requiera.
95
Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Hacking de Centrales Telefónicas
RANSONMWARE
Keylogging Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentes
Últimos parches no instalados
Amenazas en Seguridad Informática (1)
Violación de la privacidad de los empleados
Fraudes informáticos
Destrucción de equipamiento
96
Captura de PC desde el exteriorViolación de contraseñas
Interrupción de los servicios
Intercepción y modificación y violación de e-mails
VirusMails anónimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks, palms
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones voz y wireless
Programas “bomba, troyanos”
Acceso indebido a documentos impresos
Propiedad de la información
Agujeros de seguridad de redes conectadasFalsificación de información
para terceros
Indisponibilidad de información clave
Spamming
Ingeniería social
Amenazas en Seguridad Informática (2)
Amenazas en Seguridad Informática (1)Incidentes de seguridad informática en empresas de
Latinoamérica en el 2018
Fuente: ESET SECURITY
REPORT 2018
Amenazas en Seguridad Informática (2)Incidentes de seguridad informática Tendencias 2019
Amenazas en Seguridad Informática (3)Infecciones por Ransomware
Fuente: ESET SECURITY
REPORT 2018
Medidas de Seguridad EmpresarialControles de Seguridad mas implementados en Latinoamérica
durante el 2018 (4)
Fuente: ESET SECURITY
REPORT 2018
Medidas de Seguridad EmpresarialPracticas de Gestión de la Seguridad mas implementadas en
Latinoamérica en el 2018 (5)
Fuente: ESET SECURITY
REPORT 2018
Tipos de Seguridad de la Información
1-Seguridad Física
2-Seguridad Lógica
Seguridad Física - Definición
Es la aplicación de barreras físicas y
procedimientos de control, como medidas
de prevención y contramedidas ante
amenazas a los activos de información.
Seguridad Física
Ejemplo de vulnerabilidades físicas:
- Puertas que no se cierran adecuadamente
- Información sensitiva que va a para al
contenedor de basura.
- Dar Ejemplos???
- ??
- ??
- ??
Seguridad Física - Definición
Es la aplicación de barreras físicas y
procedimientos de control, como medidas
de prevención y contramedidas ante
amenazas a los activos de información.
Características de la seguridad física.
1. Conjunto integrado de capacidades y
soluciones.
2. Aplicados en una empresa o centro de
cómputo.
3. Su objetivo es mantener la seguridad en un
nivel aceptable.
4. Debe ir de lo global a lo específico.
Ello concierne desde el edificio donde se aloja
el hardware, el suministro de energía o el
control de accesos hasta lo más específico del
hardware que ha de soportar nuestras
aplicaciones.
Seguridad Física – El edificio
Características del edificio
1. Allí se encuentra ubicado el hardware y los
dispositivos que han de soportar nuestras
aplicaciones.
2. Es el primer paso en cualquier estudio de
seguridad física.
3. Suele ser el más problemático: es un
entorno ya construido, difícilmente
modificable y generalmente compartido.
Componentes de la seguridad física del edificio
1. Los suministros de energía del edificio
2. Los enlaces de comunicaciones del edificio
3. Los accesos físicos al edificio
4. El acceso al centro de cómputo
5. La seguridad contra incendios y otros desastres
6. Evacuación del personal
7. Seguridad física de los backups
8. Sistemas de redundancia de servidores y
almacenamiento de datos
9. Sistemas distribuidos con localización en diferentes
edificios
10.Alojamiento y backup de datos críticos fuera del
edificio
11.Control de marcado de edificios y Warchalking
Componentes de la seguridad física del edificio
1. Los suministros de energía del edificio
1. Priorización de los servicios con suministro de energía.
2. Tiene dos partes: Interna y externa.
3. La parte externa pertenece a la compañía eléctrica.
4. La potencia ofrecida generalmente está
sobredimensionada.
5. También verificar la redundancia (de preferencia a cargo
de otra compañía) usado en sistemas críticos.
6. Es más común usar generadores eléctricos, que
funcionan a combustible.
Componentes de la seguridad física del edificio
1. Los suministros de energía del edificio
1. Los componentes internos deben aislar al máximo
los problemas eléctricos de suministro.
2. Los sistemas que consuman gran potencia, como
los UPS deberían tener su propia protección.
3. En casos muy críticos se puede contratar a
especialistas en sistemas eléctricos
Sistema de
alimentación
ininterrumpida, SAI
(en inglés
Uninterruptible
Power Supply, UPS)
Componentes de la seguridad física del edificio
2. Los enlaces de comunicaciones del edificio
1. Se comporta de manera similar al suministro eléctrico.
2. Los sistemas de comunicaciones suelen ser de dos tipos:
públicos y privados.
3. La mayoría de los edificios usarán sistemas públicos de
comunicaciones: la red telefónica para el transporte de voz
y datos o las conexiones ADSL/DSL/Cable.
4. Verificar si existe redundancia de comunicaciones.
5. Comprobar la seguridad física del cableado.
Componentes de la seguridad física del edificio
3. Los accesos físicos al edificio
1. Un intruso dentro del edificio es la peor amenaza que
podemos tener.
2. Revisar y tener los planos actualizados.
3. El nivel de paranoia que debemos emplear con las
medidas de seguridad es directamente proporcional a lo
críticos que sean los datos que debemos proteger.
4. Se aconseja contratar a un especialista o aplicar algún
Lock Picking Guides.
Componentes de la seguridad física del edificio
4. El acceso al centro de cómputo
1. Tiene características especiales en cuanto a seguridad
que no son necesarias en otros puntos del edificio.
2. Se aconseja: Puertas blindadas, los mejores sistemas
de identificación, registro de accesos, personal de
vigilancia, etc.
Componentes de la seguridad física del edificio 5. La seguridad contra incendios y otros desastres
1. Contra desastres naturales, los sistemas de seguridad son
instalados normalmente cuando el edificio es construido y
son difíciles de instalar después.
2. Los sistemas de detección de incendios pueden ser
instalados después de construido el edificio. No son muy
caros.
3. No implantar ningún tipo de sistema contra incendios
basado en agua. Usar extintores de CO2 o de espuma.
Componentes de la seguridad física del edificio 6. Evacuación del personal
1. Tener en cuenta a las personas, manteniendo una serie
de planes de evacuación de estos si se produce
cualquier tipo de desastre dentro del edificio.
Componentes de la seguridad física del edificio 7. Seguridad física de los backups
1. Posibles incidentes: Incendios, terremotos y robos.
2. Lo más seguro es mantenerlos fuera del edificio.
Componentes de la seguridad física del edificio 8. Sistemas de redundancia de servidores y
almacenamiento de datos
1. Consiste en tener servidores y almacenamientos
redundantes.
2. Requiere suficiente ancho de banda.
3. Son soluciones muy caras y se debe hacer una
priorización de los servicios redundantes.
4. Genera el problema de adicionar un punto de
vulnerabilidad adicional.
Seguridad Física – El entorno físico del
hardware
Componentes del entorno físico del hardware
1. Suministro de energía para el hardware
2. Comunicaciones: Interconexión de redes y
sistemas
3. Acceso físico y localización del hardware
4. Sistemas de control del hardware y su integridad
5. Seguridad contra incendios y otros desastres a
nivel de hardware.
6. Control de la temperatura y la humedad del
entorno.
7. Cableado eléctrico, de telefonía y de redes
8. Control de ventanas y visibilidad desde el exterior
9. Control de desechos y basura.
Componentes del entorno físico del hardware 1. Suministro de energía para el hardware
1. Asegurar suministro estable y continuo de energía.
2. Sistemas UPS (Sistema de suministro ininterrumpido de
energía).
3. Evitan los picos de voltaje y proporcionarán un tiempo
de autonomía por medio de baterías en caso de cortes
del suministro eléctrico.
4. Considerar redundancia de UPS y fusibles automáticos
y diferenciales
Componentes del entorno físico del hardware 2. Comunicaciones: Interconexión de redes y
sistemas
1. Componentes físicos: a) Uno o varios enrutadores, que
proporcionan conectividad con el exterior. b) un red
troncal, (normalmente Gigabit Ethernet) c) un gran
concentrador por planta, que distribuye el tráfico desde
la red troncal. d) Varios concentradores más pequeños.
2. Analizar ubicación y el acceso de intrusos.
3. Usar racks, etiquetas y verificar ventilación.
Componentes del entorno físico del hardware 3. Acceso físico y localización del hardware
1. Accesos a servidores, equipos de comunicaciones.
2. Accesos a estaciones de trabajo: están expuestas a los
errores o manipulaciones que un usuario poco
cuidadoso o mal informado pueda realizar sobre ellas.
3. Control de acceso mediante dispositivos electrónicos
(claves, sistemas biométricos) o físicos (puertas
blindadas, cerraduras seguras, etc).
4. No olvidar al personal de limpieza o mantenimiento del
edificio.
Componentes del entorno físico del hardware 4. Sistemas de control del hardware y su integridad
1. Los sistemas de control de las condiciones de trabajo
del hardware suelen ir integradas en los racks o
armarios que usemos para protegerlos.
2. Los sistemas UPS y otros deberían tener algún medio
de monitorización remota mediante SNMP o avisos de
algún tipo
Componentes del entorno físico del hardware 5. El entorno de trabajo del personal y su interacción
con el hardware
1. Nada es más eficaz contra este tipo de imprevistos que
un sistema eficaz de backup.
Componentes del entorno físico del hardware 6. Control de la temperatura y la humedad del entorno.
1. En los data center, la temperatura y la humedad son los
factores más importantes a tener en cuenta.
2. Usar ventilación (interna y externa) o aire
acondicionado.
3. Monitoreo de temperatura: termómetro electrónico (por
ejemplo usa software Nagios).
4. Configurar la bios de los ordenadores para que
monitoricen la temperatura interna y emitan alertas.
Componentes del entorno físico del hardware 7. Cableado eléctrico, de telefonía y de redes.
1. Deben estar alejados de conductos de agua o gas.
2. Deben cumplir normas aplicables en el país.
3. Aislamiento.
Componentes del entorno físico del hardware 8. Control de ventanas y visibilidad desde el exterior
1. Visibilidad de los monitores y teclados desde el exterior.
2. El intruso puede ver el ingreso de claves de acceso.
Componentes del entorno físico del hardware 9. Control de desechos y basura.
1. Se evita el hacking social
2. Se exponen: Cargos, Número de cuentas, cifras,
documentos de identidad, etc.
3. Alternativa: Destrucción de documentos
Seguridad Física – Seguridad física del
hardware
Componentes del seguridad física del hardware
1. Las cajas de las computadoras
2. Redundancia de máquinas y sistemas de
almacenamiento
3. Sistemas de backup
4. Calidad de las máquinas y dispositivos de red
5. Control y seguridad de portátiles, smartphones, etc.
6. Monitoreo de equipos.
7. Acceso a datos técnicos de la red y del hardware
8. Grabación de datos.
Componentes de la seguridad del hardware 1. Las cajas de las computadoras
1. La caja de los equipos no provee ninguna seguridad.
2. Riesgo: pérdida o robo de la información.
3. Alternativas: Sellado de caja, taladro y candado de
seguridad, racks cerrados, etc.
4. Lo mejor es guardar la información relevante en un
lugar diferente.
5. Complemento: Seguridad del password de la bios. No
es muy usado ahora y su protección es mínima.
Componentes de la seguridad del hardware 2. Redundancia de máquinas y sistemas de
almacenamiento
1. Denominados sistemas de alta disponibilidad: misma
funcionalidad y sincronización.
2. Si una máquina falla, otra de las máquinas del cluster
toma su lugar y el sistema puede seguir funcionando.
3. Es diferente a la replicación.
Componentes de la seguridad del hardware 3. Sistemas de backup
1. Las máquinas de backup deben tener las mismas
medidas que para los servidores de archivos: Mantener
más de una máquina de backups, sistema centralizado
de backups alojado en un rack o armario seguro,
monitoreo etc.
2. Medios más seguros: cintas.
3. Alternativas: Con external hard drive or a USB memory
stick, Con DVDs/CD-ROMs/Blu-ray discs
4. Comprobar el backup.
Componentes de la seguridad del hardware 4. Calidad de las máquinas y dispositivos de red
1. Basado en 2 premisas: equipos certificados y el
monitoreo.
2. Elegiremos máquinas de fabricantes que entreguen
equipos completos preconfigurados y probados en la
cadena de montaje. Priorizar sobre los equipos
clonados.
3. Para el monitoreo usar SNMP (con Nagios, por ejemplo)
Componentes de la seguridad del hardware 5. Control y seguridad de portátiles, smartphones,
etc.
1. Riesgo principal: Robo o pérdida.
2. Gestión de la responsabilidad.
3. Físicamente en una red inalámbrica, consideraciones
del alcance (distancia física).
Componentes de la seguridad del hardware 6. Monitoreo de equipos y dispositivos de red
1. Inventario de equipos
2. Control en el ingreso y salida de equipos.
3. Conexión a equipos de terceros a la red interna.
4. Monitoreo de equipos con conexión VPN.
Una red privada virtual, RPV, o VPN
Virtual Private Network, es una
tecnología de red que permite una
extensión de la red local sobre una red
pública
Componentes de la seguridad del hardware 7. Acceso a datos técnicos de la red y del hardware
1. Los informes de configuración deben ser confidenciales.
2. Evitar informes impresos detallados.
Componentes de la seguridad del hardware 8. Grabación de datos.
1. Mayor dificultad para impedir el robo o pérdida de
información.
2. Usar la disuasión.
Seguridad Lógica
La seguridad lógica hace referencia a la aplicación de mecanismos y barreras para mantener el resguardo y la integridad de la información dentro de un sistema informático. La seguridad lógica se complementa con la seguridad física.
Los Objetivos de la Seguridad Lógica Restringir el acceso a los programas y archivos
Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan
Asegurar que se este utilizando los datos, archivos y programas correctos en y por el procedimiento correcto
Que la información transmitida sea solo recibida solo por el destinatario al cual ha sido enviada y no a otro
Que la información recibida sea la mismo que ha sido transmitida.
Que existan sistemas alternativos secundarios de trasmisión entre diferentes puntos.
Que se disponga de pasos alternativos de emergencia para la transmisión de información.
5 errores mas comunes de seguridad lógica y fisica
1. Usar contraseñas débiles
2. Nunca Cambia la Contraseña
3. No instalar Antivirus -Antimalware
4. No utilizar firewall
5. No actualizar el sistema operativo
ASPECTOS DE LA SEGURIDAD LOGICA
Controles de Acceso
MODALIDAD DE ACCESO
Roles
CONTROLES DE
ACCESO EXTERNO
Identificación y
AutenticaciónLIMITACIONES DE LOS SERVICIOS
ENCRIPTACION
FIREWALL
UBICACIÓN Y
HORARIO
CONTROLES DE
ACCESO INTERNO
TRANSACCIONES
ANTIVIRUS, ANTIMALWARE
ANTI….
144/20
Todo lo anterior escierto, pero
- Nosotros somos
inmunes a desastres??????????
– …Eso nunca pasará aquí
– …Nosotros tenemos una
política de seguros, eso
es suficiente
– …Nosotros nunca hemostenido problemas antes
Riesgo Informático
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico (Guías para la
Gestión de la Seguridad) como:
La probabilidad de que una
amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto específico, el cual
puede estar representado por
pérdidas y daños.
Amenaza
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática disponible, Es
cualquier persona o cosa vista como
posible fuente de peligro o catástrofe
Ejemplos: fallas, ingresos no autorizados
a las áreas de computo, virus, uso
inadecuado de activos informáticos,
desastres ambientales (terremotos,
inundaciones), incendios, , robo de datos,
accesos ilegales a los sistemas, fallas
eléctricas.
Pueden ser de tipo lógico o físico.
Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas
se materialicen. Situación creada
por la falta de controles, es decir,
la amenaza puede suceder.
Se manifiestan como debilidades o
carencias: falta de conocimiento
del usuario, tecnología
inadecuada, fallas en la
transmisión, inexistencia de
antivirus, falta de control de acceso
lógico, inexistencia de control de
respaldos entre otros.
Impacto
Consecuencias de la
ocurrencia de las distintas
amenazas: financieras o no
financieras.
Perdida de dinero, deterioro
de la imagen de la empresa,
reducción de eficiencia, fallas
operativas a corto o largo
plazo, pérdida de vidas
humanas, etc.
Administración de Riesgos
Luego de efectuar el análisis de riesgo-impacto, el
ciclo de administración de riesgo finaliza con la
determinación de las acciones a seguir respecto:
•Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
•Eliminar el riesgo.
•Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informática).
•Aceptar el riesgo, determinando el nivel de
exposición.
150/20
Administración de RiesgosFormula – Riesgo Residual
Cuantos Riesgos hay en esta lista
• Hay clavos en la calle• Hay una alcantarilla sin tapa en la calle• El agua para beber esta contaminada• Los datos son de mala calidad• Los resultados pueden ser erróneos• La casa esta muy cerca del abismo• La casa podría derrumbarse• La tasa de cambio sube• La tasa de cambio podría bajar
Amenazas – InvestigaciónListado de las amenazas lógicas mas comunes 2018
1. CROSS – SITE SCRIPTING
2. DENEGACION DE SERVICIO
3. DENEGACION DE SERVICIOS DISTRIBUIDA
4. BOMBA LOGICA
5. PHISHING
6. INTERCEPCION PASSIVE WIRETAPPING
7. SQL INJECTION
8. CABALLO DE TROYA
9. VIRUS
10. WAR DRIVING
11. WORM GUSANO
12. ATAQUE DEL DIA CERO ZERO-DAY EXPLOIT
13. RANSOMWARE
14. INGENIERIIA SOCIAL
15. APT (por Advanced Persistent Threat)
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
(Daños intencionales o no)
Objetivos: Desafío,
ganancia financiera/política,
daño
Causa Física (Natural o no)
Concreción
de la
Amenaza
¿Bajo Nivel de
Vulnerabilidad?
Daño a los
equipos, datos o
información
Confidencialidad
Integridad
Disponibilidad
Pérdida de
•Dinero
•Clientes
•Imagen de la Empresa
Marco Legal Colombiano
La protección a los Derechos de Autor forma parte de la legislación yordenamiento jurídico colombiano:• Leyes:
• Ley 23 de 1982 Derechos de Autor• Ley 44 de 1993 Medidas especiales para el Registro Nacional del Derecho de Autor & Expresiones Culturales Tradicionales• Ley 603 de 2000 Informe de gestión - El estado de cumplimiento de las normas sobre propiedad intelectual y derechos de autor por parte de la sociedad.• Ley 1273 de 2009 Delitos Informáticos
• Decretos:• Decreto 2041 de 1991 Crea la Dirección Nacional del Derecho de Autor• Decreto 1278 de 1996 Fija la estructura interna de la DNDA y se establecen sus funciones.• Decreto 1360 de 1989 inscripción de soporte lógico (software) en el Registro Nacional del Derecho de Autor• Decreto 162 de 1996 Sociedades de Gestión Colectiva de Derecho de Autor o de Derechos Conexos• Decreto 460 de 1995 Registro Nacional del Derecho de Autor y se regula el Depósito Legal (de obras en la Biblioteca Nacional)
156/20
Administración de Riesgos
EVALUACION DEL RIESGO
DEFINICION
• Es la evaluación del ambiente de control general (infraestructura física, políticas y procedimientos de control) y su capacidad para disminuir los riesgos presentes de una organización.
OBJETIVOS DE LA AR
• Mitigar los riesgos residuales que no se encuentran cubiertos por los controles de la organización y que pueden afectar la continuidad del negocio de manera representativa.
OBJETIVOS DE LA AR
• Mitigar los riesgos residuales que no se encuentran cubiertos por los controles de la organización y que pueden afectar la continuidad del negocio de manera representativa.
Definiciones y la clasificación utilizadas
N° AMENZA RIESGO PROBABILIDAD IMPACTO MEDIDAS PREVENTIVASEFECTIVIDAD DE LAS
MEDIDASOBSERVACIONES/COMENTAR
IOSCALIFICACION
GLOBALRECOMENDACIONES
1
• Riesgo: Es la probabilidad de que una amenaza o siniestro ocurra
• Alto• Medio• Bajo• Ninguno
• Impacto: Define el nivel de daños o perjuicios causados en el evento de que una amenaza o siniestro ocurra
• Muy bajo• Bajo• Medio• Alto• Muy alto• N/A
• Las medida preventivas son evaluadas con relación a su efectividad en cuanto a la reducción del impacto en caso de la ocurrencia de una amenaza o siniestro
• Optima• Buena• Regular• Mala
• Calificación global• Alto riesgo• Medio riesgo• Bajo riesgo
• Probabilidad• Frecuente• Poco frecuente• Muy frecuente
TENDENCIAS TI
FACTORES DE RIESGO
• Agua • Explosiones en tubos
• Lluvia
• Activación sistemas de extinción
• Humedad
• Perdida de suministro
• Inundaciones externas
FACTORES DE RIESGO
• Fuego
• Daño en elementos de extinción
• Incendio accidental
• Incendio provocado
• Explosiones de combustible
FACTORES DE RIESGO
• Hardware, software y comunicaciones
• Daños del hardware
• Problemas de software
• Acuerdos con proveedores
• Procesos de Back up
• Administración de la red
• Perdida de telecomunicaciones
FACTORES DE RIESGO
• Personas
• Procedimientos de evacuación
• Personal insuficiente
• Personal no confiable
• Personal clave
• Huelgas, paralizaciones
FACTORES DE RIESGO
• Otros
• Actos terroristas
• Impacto de vehículos
• Contrato de arrendamientos
• Construcción defectuosa
• Instalaciones inadecuadas
CONTROLES
• Para exposiciones ambientales y todos los siniestros que puedan suceder o formar parte inherente al análisis de riesgo se consideran como algunos de los controles deseados los siguientes:• Detectores de agua• Extintores• Alarma de incendios• Detectores de humo• Sistema de supresión de incendios• Ubicación estratégica centro de computo• Paredes, pisos y cielorrasos a prueba de incendios• Protectores de voltaje• UPS• Cableado estructurado
Agenda
• Presentación
• Historia de la Informática
• Generalidades de la Informática
• Auditoria Informática
• Seguridad Informática
• Nuevas Tecnologías
• Evaluación
TRABAJO DEL MODULO
Agenda
• Presentación
• Historia de la Informática
• Generalidades de la Informática
• Auditoria Informática
• Seguridad Informática
• Nuevas Tecnologías
• Evaluación
EVALUACION
Agenda
• Presentación
• Historia de la Informática
• Generalidades de la Informática
• Auditoria Informática
• Seguridad Informática
• Nuevas Tecnologías
• Evaluación y Trabajo