Professional Documents
Culture Documents
Auditoría
Informática
Docente:
Ing. Juan Carlos Inestroza Lozano
Estudiante:
xxxxxxxx
Contenido de Contenido
Introducción........................................................................................................... 3
Objetivos ................................................................................................................ 4
Conclusiones ....................................................................................................... 35
Recomendaciones............................................................................................... 36
Bibliografía........................................................................................................... 37
Auditoria Informática
Introducción
El objetivo perseguido por las normas ISO es asegurar que los productos y/o
servicios alcancen la calidad deseada. Para las organizaciones son instrumentos
que permiten minimizar los costos, ya que hacen posible la reducción de errores y
sobre todo favorecen el incremento de la productividad. Los estándares
internacionales ISO son clave para acceder a mercados nacionales e
internacionales y de este modo, estandarizar el comercio en todos los países
favoreciendo a los propios organismos públicos.
Objetivos
Objetivo General
Conocer y analizar las Normativas Nacionales e internacionales, y destacando su
trascendencia para asegurar que los productos y/o servicios alcancen la calidad
deseada.
Objetivos Específicos
Comprender y hacer un análisis de las Normativas de Banca y Seguros de
Honduras.
Conocer y hacer un análisis comparativo de las normativas ISO 17799 e
ISO 27001, COBIT 4.1 y COBIT 5, BS 25999 e ISO 22301, 31000 e ISO
27005.
Investigar y profundizar sobre Controles COSO, ISO 27032 de
Ciberseguridad. GDPR.
Auditoria Informática
Marco Teórico
Resumen CNBS
Normas para Regular la Administración de las Tecnologías de Información y
Comunicaciones en las Instituciones del Sistema Financiero
El Capítulo IV, en sus artículos del 24 al 35, detalla el tema de Control de Acceso,
Encriptación y Seguridad en la Red; Encriptación de Información, Certificación de
la Identidad del Sitio de Internet, Conexión de Internet, Operaciones Autorizadas,
Requisitos de Conexión de Internet, Resguardo de la Conexión de Internet,
Contraseñas de Acceso.
Auditoria Informática
Articulo Comentario
ARTÍCULO 1.- Objeto
Las presentes normas, tienen por objeto
El objetivo de las normas son las
regular la administración de las tecnologías
regulaciones de las tecnologías de
de información y comunicaciones utilizadas
la información y los servicios
por las instituciones del sistema financiero;
utilizadas por las instituciones
asimismo, regular los servicios financieros
financieras del país.
y operaciones realizadas por medio de
redes electrónicas de uso externo e interno.
ARTÍCULO 2.- Alcance
Las presentes normas están en
concordancia con los principios del Comité
de Basilea y el estándar internacional Estas normas son de obligatorio
ISO/IEC 17799:2000, emitidos en materia de cumplimiento para todas
banca electrónica y administración de la instituciones supervisadas por la
Seguridad Informática y constituyen una Comisión. Y son normativas
guía general para la documentación formal establecidas en ISO/IEC
e implementación de la seguridad en las 17799:2000
tecnologías de información y
comunicaciones de las instituciones del
sistema financiero.
ARTÍCULO 3.- Definiciones En este artículo de definen toda la
Para los efectos de aplicación de la nomenclatura utilizada en las
presente normativa y bajo la perspectiva de tecnologías de la información. De
la tecnología de información, deberán manera que las instituciones
Auditoria Informática
autorización…
ARTÍCULO 45.- Definición del Perfil de
Usuario de Banca Electrónica
Los permisos y accesos del
El perfil del usuario de banca electrónica
usuario se definirán conforme
deberá definirse con los permisos y
establecido en el contrato.
accesos conforme lo establecido en el
contrato de servicios…
ARTÍCULO 46.- Asignación de Contraseña
de Acceso La institución otorgará la
La contraseña inicial se le otorgará al contraseña inicial de acceso al
cliente en forma personal y ésta será cliente en forma personal.
confidencial para terceros….
ARTÍCULO 47.- Cambios de Contraseñas
La institución deberá realizar los cambios
Describe los casos en las que la
de las contraseñas de los usuarios en los
institución deberá realizar cambios
casos siguientes:
de las contraseñas
(1) Inmediatamente después de la primera
conexión. El programa deberá
ARTÍCULO 48.- Cancelación de
Contraseñas de Acceso
Describe los casos en las que la
La institución deberá cancelar las
institución deberá realizar cancelar
contraseñas de sus usuarios cuando
las contraseñas y durante que
ocurra alguno de los siguientes casos:
periodo de tiempo.
(1) Si pasa un período de tiempo, el cual
no debe ser supe…
ARTÍCULO 49.- Aplicación de Medidas de
Control de Banca Electrónica La institución debe de aplicar de
Las disposiciones de esta sección aplican medidas de control cuando el
al software de banca electrónica software de banca electrónica sea
desarrollado por terceros (outsourcing) o desarrollado por terceros.
internamente por la institución.
Auditoria Informática
.- Proceso de Encriptación
El proceso de encriptación de las
contraseñas debe realizarse a través de Se deberán utilizar algoritmos de
algoritmos de encriptación mundialmente encriptación para las contraseñas.
aceptados y que no se hayan descifrado;
también debe incluir un Valor SALT…
ARTÍCULO 52.- Implementación de
Controles La aplicación debe de ejercer
La aplicación debe implantar controles que control de las sesiones y eliminar
minimicen el riesgo que la sesión de un las sesiones inactivas después de
usuario pueda ser obtenida o interceptada determinado período de tiempo.
por un tercero para obtener acceso…
ARTÍCULO 53.- Separación de Servidores La base de datos de la institución
La base de datos de la institución debe debe estar en un servidor
estar en un servidor separado del servidor separado del servidor de Internet o
de Internet o servidor de aplicaciones. servidor de aplicaciones.
ARTÍCULO 54.- Proceso de Autenticación
de Usuario
Para el acceso de los usuarios se
Para autenticar a un usuario la aplicación
deberá solicitar un nombre de
deberá en la medida de lo posible solicitar
usuario y una contraseña.
además del usuario y la contraseña, un
campo de control con letras y números
ARTÍCULO 55.- Medidas de Resguardo para Las aplicaciones deben asegurar
Información Útil que ningún parámetro con
Las aplicaciones deben asegurar que información útil para un posible
ningún parámetro con información útil para atacante viaje a través del
un posible atacante viaje … navegador del cliente.
ARTÍCULO 56.- Acceso Restringido El acceso contendrá un
La aplicación debe asegurar que los mecanismo para otorgar permisos
usuarios de la misma tengan acceso a funciones y recursos
solamente a las funciones, recursos y autorizados.
Auditoria Informática
La ISO 27002 es una guía para, en distintos ámbitos, conocer qué se puede hacer
para mejorar la seguridad de la información. Expone, en distintos campos, una
serie de apartados a tratar en relación a la seguridad. Los objetivos de seguridad a
perseguir, una serie de consideraciones o controles a tener en cuenta para cada
objetivo y un conjunto de sugerencias para cada uno de esos controles. Por su
parte, la ISO 27001 habla de los controles de forma residual. El núcleo de la
norma anterior queda reducido a un listado de objetivos de control y controles
incluidos en un anexo. Porque lo que importa en esta norma es la gestión de la
seguridad, en forma de SISTEMA DE GESTIÓN. Lo importante en la ISO 27001
es que los riesgos se analicen y se gestionen, que la seguridad se planifique, se
implemente y, sobre todo, se revise, se corrija y mejore.
Las diferencias más importantes COBIT 4.1 y COBIT 5 se pueden resumir en:
En la cual indica que para aplicar esta metodología, es necesario identificar los
controles informales dentro del componente ambiente de control. Esta evaluación,
realizada por profesionales de auditoría interna mediante talleres y análisis, se
enfoca en el grupo de personal operativo (sin la gerencia de estos) evaluando
unidades de trabajo o funciones específicas. En este la gerencia es la responsable
de definir los objetivos de trabajo, como también los controles necesarios
apoyando estos objetivos.
Auditoria Informática
Esta metodología analiza las actividades de control que se relacionan con los
objetivos específicos de los trabajos que se realizan en cada área de la
organización. En este se evalúan los controles específicos de los otros cuatro
componentes de COSO:
Evaluación de riesgos.
Actividades de control.
Información y comunicación.
Monitoreo o supervisión.
“La norma (ISO/IEC 27032) facilita la colaboración segura y fiable para proteger la
privacidad de las personas en todo el mundo. De esta manera, puede ayudar a
prepararse, detectar, monitorizar y responder a los ataques”, han explicado desde
ISO. La organización espera que ISO/IEC 27032 permita luchar contra ataques de
ingeniería social, hackers, malware, spyware y otros tipos de software no deseado.
Proporciona un marco de orientación para mejorar el estado de la Ciberseguridad,
usando para ello los aspectos estratégicos y técnicos relevantes para esa
actividad, y sus dependencias con otros dominios de seguridad, en particular:
Activos en el Ciberespacio
Un activo se define como algo que tiene valor para la organización. Hay muchos
tipos de activos, incluyendo los siguientes:
la información;
software, como un programa o software;
Auditoria Informática
El otro es ISO 27005. Parte de la ISO 27000 desde 2008, esta norma establece
las mejores prácticas de gestión de riesgos específicamente orientadas a la
gestión de riesgos para la seguridad de la información, particularmente en lo que
respecta al cumplimiento de los requisitos de un Sistema de gestión de la
seguridad de la información (SGSI) por ABNT NBR ISO / IEC 27001. Establece
que las mejores prácticas de gestión de riesgos deben definirse de acuerdo con
las características de la organización, teniendo en cuenta el alcance de su SGSI,
el contexto de gestión de riesgos, así como su industria. De acuerdo con el marco
descrito en esta norma para implementar los requisitos del SGSI, se pueden
utilizar varias metodologías diferentes y se pueden introducir diferentes enfoques
para la gestión del riesgo en lo que se refiere a la seguridad de la información en
el apéndice del documento. Veamos las diferencias;
nuevas e importantes obligaciones para las empresas que traten con datos
personales de ciudadanos de la Unión Europea. Desde el primer minuto en que se
ponga en marcha un servicio o un producto, las compañías estarán obligadas a
establecer la privacidad por defecto de dichos datos.
Entre los cambios que implica, GDPR amplía y mejora la definición de información
personal: datos como las direcciones IP, la información cultural, económica o
social, nombres de usuario y pseudónimos, registros de proveedores y de
personal, entre otros, están cubiertos por esta ley y son considerados personales.
Tienen derecho a saber quién y para qué utilizan nuestros datos, durante
cuánto tiempo se van a conservar y si en su tratamiento va ha haber
elaboración de perfiles y decisiones automatizadas, sobre todo si tienen
consecuencias legales como en el cálculo de un seguro. Por supuesto,
tenemos el derecho de presentar denuncias ante la autoridad competente,
la AGPD en España, si las empresas no atienden nuestras reclamaciones.
Todas las organizaciones públicas o privadas que traten nuestros datos
deben identificar quién es el Responsable del tratamiento y cómo podemos
solicitar el ejercicio de nuestros derechos, por ejemplo la suspensión del
tratamiento, la conservación de nuestros datos pero sin tratarlos, o la
portabilidad de los mismos en un formato que otros Responsables puedan
tratar.
Tienen el derecho de rectificar nuestros datos cuando sean inexactos o
estén incompletos. Para ello el Responsable del tratamiento deberá
facilitarnos un procedimiento sencillo, preferiblemente un formulario web.
Auditoria Informática
Conclusiones
Las normativas tienen como propósito que las evaluaciones sean lo más objetivas
y uniformes posibles, existiendo estándares homogéneos para el cumplimiento de
los Principios Básicos. Para las organizaciones son instrumentos que permiten
minimizar los costos, ya que hacen posible la reducción de errores y sobre todo
favorecen el incremento de la productividad. Los estándares internacionales ISO
son clave para acceder a mercados nacionales e internacionales y de este modo,
estandarizar el comercio en todos los países favoreciendo a los propios
organismos públicos.
Auditoria Informática
Recomendaciones
Es de suma importancia para las empresas, conocer e implementar las
normativas Nacionales e Internacionales.
Bibliografía