momento 3 auditoria de sistemas
DESCRIPTION
AUDITORIA DE SISTEMASTRANSCRIPT
TRABAJO COLABORATIVO MOMENTO 3
DOCENTE: ALEXANDRA CAROLINA GUERRERO
AUDITORIA DE SISTEMAS 90168_3
PROGRAMA: INGENIERÍA DE SISTEMAS
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)COROZAL-SUCRE
31-05-2015
Objetivos Generales de una Auditoría de Sistemas
Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por la empresa.
Incrementar la satisfacción de los usuarios de los sistemas computarizados asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones Apoyo de función informática a las metas y objetivos de la organización
RIESGO CONTROLES PREVENTIVOS
CONTROLES DETECTIVOS
CONTROLES CORRECTIVOS
Dependencia exclusiva de un proveedor de servicio técnico externo ya sea en hardware o software
Ausencia de conocimiento o documentación instructiva acerca de la manipulación u operación de las aplicaciones
Temperatura inadecuada en el centro de computo
Los usuarios no son capacitados en el uso adecuado de extintores.
No existen sensores de Temperatura.
No existen controles sobre el acceso de personas a la oficina de cómputo
No hay un control de asistencia sobre los responsables del aula.
No hay sistemas de vigilancia para detectar posibles movimientos fraudulentos a los equipos de cómputo.
Falta definir políticas para la asignación de contraseñas de los equipos de cómputo.
Realizar un cronograma de mantenimiento programado para los diferentes Dispositivos de la sala de equipos como cámaras ,sensores humo, temperatura, con la intención de que siempre estén funcionales
Contratar un software de control de acceso para que lleve una base de datos con la fecha y hora de entrada de los empleados
asignar un espacio locativo y estratégico para realizar tareas de mantenimiento preventivo
realizar monitoreo Completo del trabajo de los contratistas
realizar un inventario de hardware y software ubicados en el hotel, con fecha
Alerta al jefe de sistemas por masaje de texto , o un electrónico si hay algún ataque desde fuera
Enviar una alerta al ser conectado un dispositivo de almacenamiento , indicando el usuario, el día y la hora exacta
Implementar un procedimiento almacenado para que nos indique cuando una licencia esta por vencer
Bloquear el servidor si al tercer intento de colocar la clave invalida
Realizar un escaneo programado en todos los equipos de la red , en busca de virus, o malware, spyware
Sistemas de alarma con sensores de movimientos que permitan alertar si hay un intruso
de caducidad de cada uno de los Ítems
CONSEJOS
1. Utiliza un buen antivirus y actualízalo frecuentemente.
2. Comprueba que tu antivirus incluye soporte técnico, resolución urgente de nuevos virus y servicios de alerta.
3. Asegúrate de que tu antivirus esté siempre activo.
4. Verifica, antes de abrir, cada nuevo mensaje de correo electrónico recibido.
5. Evita la descarga de programas de lugares no seguros en Internet.
6. Rechaza archivos que no hayas solicitado cuando estés en chats o grupos de noticias (news).
7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu ordenador.
8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador.
9. Analiza el contenido de los archivos comprimidos.
10. Mantente alerta ante acciones sospechosas de posibles virus.
11. Añade las opciones de seguridad de las aplicaciones que usas normalmente a tu política de protección antivirus.
12. Realiza periódicamente copias de seguridad.
13. Mantente informado.
14. Utiliza siempre software legal.
15. Exige a los fabricantes de software, proveedores de acceso a Internet y editores de publicaciones, que se impliquen en la lucha contra los virus.
Objetivo de Control: Deberán establecerse apropiadas medidas de seguridad física y control de acceso para las instalaciones de tecnología de información de acuerdo con la política de seguridad general, incluyendo el uso de dispositivos de información fuera de las instalaciones. El acceso deberá restringirse a las personas que hayan sido autorizadas a contar con dicho acceso.
• Proceso: Discreción de las Instalaciones de Tecnología de Información.
Objetivo de Control: La Gerencia de la función de servicios de información deberá asegurar que se lleve un bajo perfil ó discreción y que la identificación física de las instalaciones relacionadas con sus operaciones de tecnología de información sea limitada.
• Proceso: Escolta de Visitantes.
Objetivo de Control: Deberán establecerse procedimientos apropiados que aseguren que las personas que no formen parte del grupo de operaciones de la función de servicios de información sean escoltadas por algún miembro de ese grupo cuando deban entrar a las instalaciones de cómputo. Deberá mantenerse y revisarse regularmente una bitácora de visitantes.
• Proceso: Protección contra Factores Ambientales.
Objetivo de Control: La Gerencia de la función de servicios de información deberá asegurar que se establezcan y mantengan las suficientes medidas para la protección contra los factores ambientales (por ejemplo, fuego, polvo, electricidad, calor o humedad excesivos). Deberán instalarse equipo y dispositivos especializados para monitorear y controlar el ambiente.
• Proceso: Suministro Ininterrumpido de Energía.
Objetivo de Control: La Gerencia deberá evaluar regularmente la necesidad de generadores y baterías de suministro ininterrumpido de energía para las aplicaciones críticas de tecnología de información, con el fin de asegurarse contra fallas y fluctuaciones de energía. Cuando sea justificable, deberá instalarse el equipo más apropiado.
CONCLUCION
La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).
BIBLIOGRAFIA
http://152.186.37.87/inter0802_20151/mod/lesson/view.php?id=5419 http://152.186.37.87/inter0802_20151/file.php/238/auditoria_2015_I/GUIA_INTEGRADA_DE_A CTIVIDADES_2015_Auditoria_2015_Intersemestral_I_vf.pdf http://auditordesistemas.blogspot.com/2011/11/conceptos.html