Professional Documents
Culture Documents
Introduccin
Auditoria en Informtica
Revisin analtica a la suficiencia de controles establecidos en el mbito informtico, con la finalidad de disminuir los riesgos y garantizar la seguridad, confiabilidad y exactitud de la informacin.
La funcin del auditor va encaminada a prevenir y vigilar el control de la funcin del procesamiento de datos, apoyar en el establecimiento de estndares en la empresa y pugnar por la conservacin de los activos informticos de la misma. Se parte de la existencia de normas, polticas y procedimientos que rigen a la funcin informtica y delimita el nivel de congruencia con el ejercicio de los mismos.
Auditoria en Informtica
Su funcin es descubrir fraudes, robo electrnico, alteracin o modificacin de programas, difamacin, etc..., riesgos que repercuten en daos econmicos.
Controles
Importancia
Un sistema de informacin se constituye por un conjunto de procedimientos manuales y computarizados. El objetivo de la auditora es asegurar que la informacin que producen los sistemas sea confiable, til y oportuna entre otras.
Auditoria Informtica.
Monitorea el cumplimiento del programa de seguridad informtica. Revisa el acatamiento y el apego a las polticas y normas.
Objetivos particulares
Personal.- Contar con personal altamente calificado para la realizacin de su funcin. Cuerpo de gerentes Supervisores Tcnicos Operadores
Personal
Objetivos particulares
Personal de la institucin.
Cumple con lo establecido en las polticas y normas de seguridad. Reporta excepciones al coordinador de seguridad. Participa en los programas de concientizacin.
Objetivos particulares
Apoyan ante la presencia de fallas de en la seguridad. Diagnostican problema, Corrigen fallas y ajustan las tecnologas de proteccin. Notifican la problemtica a otras reas tcnicas a fines.
Objetivos particulares
Grupo de instruccin deteccin
(Tiger Teams).
Evalan nivel de seguridad en la organizacin. Detectan riesgos y fallas presentes en las tecnologas y aplicaciones. Documentan problemticas y proponen acciones de solucin.
Objetivos particulares
Administradores
(Firewalls).
Aplican polticas de seguridad establecidas. Parametrizan el firewall. Dan seguimiento a situaciones de excepcin. Generar respaldos peridicos. Dan apoyo ante afectacin del servicio.
Funciones generales
Disear, establecer (si no existe) y verificar que se lleve a cabo mtodos de respaldo y control que garanticen la continuidad de los servicios a los usuarios.
Elaborar (si no existe) y verificar que sea adecuado el plan de contingencia de todo el procesamiento electrnico de datos. Establecer los controles adecuados que garanticen la completa proteccin de todos los recursos de cmputo.
Funciones generales
Investigar , estudiar y proponer la adquisicin y utilizacin de nuevos equipos de cmputo.
Mantener y actualizar la configuracin de los equipos electrnicos y redes de comunicacin para satisfacer las necesidades de crecimiento, implantacin de nuevas aplicaciones y niveles de servicio ofrecidos a los usuarios.
Objetivos particulares
Software
Verificar que se este a la vanguardia en tecnologa de software: Sistema operativo - Utilera - Mtodos de acceso Software - Lenguajes Software de comunicaciones Software de base de datos
Objetivos particulares
Servicio a usuarios.- Mejorar y mantener los niveles de servicio al usuario en sus necesidades. Consultas Capacitacin Documentacin Implementacin
Servicios
Objetivos particulares
Red de comunicaciones
Mejorar y mantener una red de comunicaciones que integre todos los niveles de procesamiento, cubriendo las siguientes caractersticas: Confiable Segura Estndar Flexible Integrada
Red de comunicaciones
Objetivos particulares
Equipo Contar con la tecnologa ms avanzada en materia de equipo de computo para: Centros de cmputo red de comunicaciones Terminales Captura de datos Microcomputadoras
Equipo
Objetivos particulares
La auditoria tiene como apoyo a los controles para mantener la seguridad de los sistemas de informacin
Controles
Tipo de controles
Preventivos
Detectivos
Correctivos
Los controles ofrecen una razonable seguridad que las operaciones bsicas funcionen y ejecuten tal y como fueron diseadas, que seguridad de los datos se mantenga y que errores se detecten oportunamente
de se a los
Algunas herramientas, programas o software se ubican en dos o ms categoras, esto implica que son ms completas, frecuentemente este software esta dividido en mdulos y cada uno corresponde a una de las categoras. 1. Facilitan el entendimiento del auditor de sistemas dentro de la organizacin 2. Facilitan la recoleccin de pruebas sobre la calidad e integridad de los datos 3. Permiten evaluar la calidad y robustez de la programacin 4. Recolectan informacin sobre la eficiencia (productividad) de una instalacin.
La eficiencia del auditor depende de su capacidad de entender los programas y los datos en un tiempo mnimo. Esto se complica si no se tienen especificaciones robustas, estndares, programacin estructurada o archivos planos.
Herramientas - Diagramas
Contexto Jerarqua HIPO Entrada-Proceso-Salida. Estructura de la base de datos Transicin de estados (distintos estados que puede estar un modulo o funcin) Estado o autmatas (describen protocolos o gramticas de transicin a nivel muy bajo)
Flujo de datos
Este software apoya al auditor como: Monitoreo de paginacin (saber que aplicaciones consumen ms recursos de disco). Frecuencia de checkpoints (Puntos de chequeo que permiten ver como andan los recursos).
Uso de una estructura del sistema que permita crear ambientes de prueba.
bajo
diferentes
Pruebas de Sistema.- Evalan el rendimiento global o parte del sistema, ejecuta y cronometra el tiempo de respuesta.
a) Pruebas de aplicacin o Aplicacin-Base (Applicationbased).- Evalan el rendimiento de una aplicacin en ejecucin, como esta operando. Ejecuta y cronometra. Winstone de ZDnet
Contiene ejemplos representativos de las operaciones requeridas por las aplicaciones, hace complicadas secuencias de instrucciones usadas por las aplicaciones. Se mide el tiempo que toma la ejecucin de esas secuencias de instrucciones. Es un programa que enva cargas de trabajo al procesador.
Si el resultado de la evaluacin es sustituir el sistema de computo actual se inicia con el proceso de evaluacin de seleccin. Cerrando con esto el circulo de evaluacin.
Evaluacin
Seleccin Inicio del S.C. Diagnostico Desarrollo del S.C.
Diseo de la auditoria
La auditoria se basa en los lineamientos establecidos por las seguridad. Los datos, archivos, accesos, procesos, reas, etc. que se debe establecer seguridad y el grado de seguridad requerida. La auditoria establece las fechas para verificar que la seguridad de la informacin. La auditoria se puede efectuar de dos formas programada o sorpresa.
Nivel de seguridad
1 Alta 2 - Media 3 Mnima 4 Sin seguridad
------------------
----------
-------------------
------
Reporte de auditoria
Una vez que se efecta la evaluacin se desarrolla un reporte con los puntos detectados. El siguiente reporte es un ejemplo la empresa o el auditor establecer el formato que mejor se adapte a las necesidades.
Puntos detectados
----------
---------
---------
------