prev
next
out of 18

Antologia Auditoria

  • Upload
    arcima

  • View
    604

  • Download
    0

Embed Size (px)

Citation preview

ANTOLOGIA: AUDITORIA INFORMATICA TEMARIO 1 Introduccin a la auditoria informtica. 1.1 Conceptos de auditora y auditoria Informtica. 1.2 Tipos de auditora. 1.2.1 Auditora interna y externa. 1.3 Campo de la auditoria informtica. 1.4 Control interno. 1.5 Modelos de control utilizados en auditoria informtica. 1.6 Principios aplicados a los auditores informticos. 1.7 Responsabilidades de los administradores y del auditor. . 2 Planeacin de la auditoria Informtica. 2.1 Fases de la auditoria. 2.1.1 Planeacin. 2.1.2 Revisin preliminar. 2.1.3 Revisin detallada. 2.1.4 Examen y evaluacin de la informacin. 2.1.5 Pruebas de controles de usuario. 2.1.6 Pruebas sustantivas. 2.2 Evaluacin de los sistemas de acuerdo al riesgo. 2.3 Investigacin preliminar. 2.4 Personal participante. 3 Auditoria de la funcin informtica. 3.1 Recopilacin de la informacin organizacional. 3.2 Evaluacin de los recursos humanos. 3.3 Entrevistas con el personal de informtica. 3.4 Situacin presupuestal y financiera. 3.4.1 Presupuestos. 3.4.2 Recursos financieros y materiales. 4 Evaluacin de la seguridad. 4.1 Generalidades de la seguridad del rea fsica. 4.2 Seguridad lgica y confidencial. 4.3 Seguridad personal. 4.4 Clasificacin de los controles de seguridad. 4.5 Seguridad en los datos y software de aplicacin. 4.6 Controles para evaluar software de aplicacin. 4.7 Controles para prevenir crmenes y fraudes informticos. 4.8 Plan de contingencia, seguros, procedimientos de recuperacin de desastres. 4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del personal. 4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin. 5 Auditoria de la seguridad en la teleinformtica. 5.1 Generalidades de la seguridad en el rea de la teleinformtica. 5.2 Objetivos y criterios de la auditoria en el rea de la teleinformtica. 5.3 Sntomas de riesgo. 5.4 Tcnicas y herramientas de auditora relacionadas con la seguridad en la teleinformtica.

6 Informe de la auditoria informtica. 6.1 Generalidades de la seguridad del rea fsica. 6.2 Caractersticas del informe. 6.3 Estructura del informe. 6.4 Formato para el informe.

INTRODUCCION: En la actualidad los temas relativos a la auditora informtica cobran cada vez ms relevancia, tanto a nivel nacional como internacional, debido a que la informacin se ha convertido en el activo ms importante de las empresas, representando su principal ventaja estratgica, por lo que stas invierten enormes cantidades de dinero y tiempo en la creacin de sistemas de informacin con el fin de obtener la mayor productividad y calidad posibles.

Es de crucial importancia para un profesional del desarrollo de aplicaciones el pleno conocimiento de la auditora informtica, esto as, porque debe de seguir todos los procedimientos y generar toda la documentacin y planeacin del producto no slo para salir exitosos en los procesos de auditoras externas, sino tambin para fines de asegurar la continuidad y la calidad del producto final.

Esta asignatura proporciona a los estudiantes una panormica actual y completa sobre la auditora informtica, combinando el rigor terico con el enfoque prctico en el mundo de la auditora informtica.

UNIDAD IV. EVALUACION DE LA SEGURIDAD

GENERALIDADES DE LA SEGURIDAD DEL AREA FISICA

El objetivo es establecer polticas, procedimientos y practicas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, informacin debido a contingencias como incendio, inundaciones, huelgas disturbios, sabotaje etc. y continuar en un medio de emergencias hasta que sea reestructurado el servicio completo.

PRECAUCIONES QUE SE DEBEN TENER EN CUENTA

Los ductos del aire acondicionado deben estar limpios ya que son una de las principales causas del polvo y se habr de contar con detectores de humo que indiquen la posible presencia de fuego. En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y en los equipos de teleproceso En cuanto a los extintores, se debe revisar en numero de estos, su capacidad, fcil acceso peso y tipo de producto que utilizan. Otro de Ios, problemas es la utilizacin de los extintores inadecuados que pueden provocar mayor perjuicio a las maquinas (extintores lquidos) o que provocan gases txicos Tambin se debe ver que el personal sepa usar los equipos contra incendio y si ha habido practica en cuanto a su uso. Se debe verificar que existan deferentes salidas de emergencia y que estn debidamente controladas para evitar robos por medio de estas salidas. Los materiales mas peligrosos son las cintas magnticas que, al quemarse, producen gases txicos y el papel carbn es altamente inflamable.

SEGURIDAD LOGICA y CONFIDENCIAL

Las computadoras son un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas e instituciones y puede ser mal utilizada o divulgada a personas que hagan mal uso de estas.

Durante mucho tiempo se considero que los procedimientos de auditoria y seguridad eran responsabilidad de la persona que elabora los sistemas sin considerar que son responsabilidad del usuario y del departamento de auditoria interna. Al auditar los sistemas, se debe tener cuidado que no se tengan copias piratas o bien que al conectarnos a la red con otros computadoras, no exista la posibilidad de transmisin del virus. El crecimiento de los fraudes por computadora han hecho patente que la potenciabilidad de los crmenes crece en forma mas rpida que en los sistemas de seguridad.

Se considera que hay cuatro factores que han permitido el incremento en los crmenes por computadora: 1. El aumento del numero de personas que se encuentra estudiando computacin

2. EI aumento al numero de empleados que tienen acceso a los equipos

3. La facilidad en el uso de los equipos de computo

4. EI incremento en la concentracin del nmero de aplicaciones y, consecuentemente de la informacin.

A aumento de los fraudes hechos a los sistemas computarizados se han perfeccionado los sistemas de seguridad tanto fsica como lgica.

Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso.

Uno de los puntos que se pueden auditar con mas detalla es el de tener las cifras de control y el medio adecuado que nos permita en el momento que se produce un cambio o fraude en el sistema.

SEGURIDAD EN EL PERSONAL

Un buen centro de cmputo depende, de la integridad, estabilidad y lealtad de personal, por lo que al momento de reclutarlo es conveniente hacerle exmenes psicolgicos, mdicos y tener en cuenta sus antecedentes de trabajo.

Tambin se deben tener polticas de rotacin de personal que disminuyan la posibilidad de fraude, ya que un empleado puede estar haciendo otra actividad en un mes y seria muy arriesgado cometer un fraude.

El programador honesto en ocasiones elabora programas que ponen en peligro la seguridad de la empresa, ya que no se consideran procedimientos de auditoria dentro de los programas tales que excluyan las posibilidades de fraudes

CLASIFICACION DE LOS CONTROLES DE SEGURIDAD

Dentro de los aspectos fundamentales que se deben contemplar en el diseo de cualquier centro de informtica, se encuentran la seguridad de los recursos informticos, del personal, de la informacin, de sus programas, etc.

A continuacin se muestra los principales controles de seguridad:

Clasificacin de los controles de seguridad Seguridad fsica Seguridad lgica Seguridad de las bases de datos Seguridad en la operacin Seguridad del personal de informtica Seguridad de las telecomunicaciones Seguridad en las redes

SEGURIDAD EN LOS DATOS Y SOFTWARE DE APLlCACION

Es el control que se establece en el sistema en forma administrativa; esto significa que por medio de procedimientos, claves y niveles de acceso, se permite el uso del sistema, de sus archivos y de su informacin a los usuarios y al personal autorizado; dichos procedimientos van desde el registro de los usuarios y la asignacin de equipos y terminales, hasta el establecimiento de privilegios, limites y monitoreo de uso de sistemas, programas e informacin. En todos los casos de acuerdo con el nivel del usuario, o a su importancia para el sistema y a las polticas de la empresa y del rea de sistemas.

Es la proteccin especifica de la informacin que se maneja en las reas de sistemas de la empresa, ya sea a travs de las medidas de seguridad y control que limiten el acceso y uso de esa informacin, o mediante sus respaldos peridicos con el fin de mantener su confidencialidad y prevenir las alteraciones descuidos y otros actos delictivos que afecten su manejo.

El fraude es el delito mas creativo: requiere de las mentes ms agudas y podemos decir que es prcticamente imposible de evitar.

En el momento en que se descubre el remedio, alguien inventa algo nuevo

Esta norma define el fraude y el error e indica que la responsabilidad de la prevencin de los mismos radica en la administracin.

El auditor deber planear la auditoria de modo de que exista una expectativa razonable de detectar anomalas importantes resultantes del fraude y el error. Se sugieren procedimientos que deben considerarse cuando el auditor tiene motivos para creer que existe fraude o error.

Controles para prevenir amenazas y fraudes informticos Responsabilidad de la Gerencia: La responsabilidad por la prevencin y deteccin de fraude y error descansa en la gerencia que debe implementar y mantener sistemas de contabilidad adecuados.

Responsabilidad del Auditor: El auditor no es y no puede ser responsable de la prevencin del fraude o error, sin embargo, el hecho de que se lleve a cabo una auditoria anual, puede servir para contrarrestar fraudes o errores,

Controles para prevenir amenazas y fraudes informticos Para prevenir el acceso no autorizado, los usuarios deben usar un sistema de contraseas robusto y activar el protector de pantalla manualmente cada vez que se ausente de su oficina.

Los datos confidenciales que aparezcan en la pantalla deben protegerse de ser vistos por otras personas mediante disposicin apropiada del mobiliario de la oficina y protector de pantalla. Cuando ya no se necesiten o no sean de utilidad, los datos confidenciales se deben borrar

Debe implantarse un sistema de autorizacin y control de acceso con el fin de restringir la posibilidad de los usuarios para leer, escribir, modificar, crear, o borrar datos importantes. No esta permitido llevar al sitio de trabajo computadoras porttiles (Iaptops) y en caso de ser necesario se requiere solicitar la autorizacin correspondiente.

No debe borrarse la informacin original no cifrada hasta que se haya comprobado que se puede recuperar desde los archivos encriptados mediante el proceso de descifrado.

No deben salirse las impresoras desatendidas, sobre todo si se est imprimiendo (o se va a imprimir) informacin confidencial de la Compaa.

El personal que utiliza un computador porttil que contenga informacin confidencial de la Compaa, no debe dejarla desatendida, sobre todo cuando est de viaje, y adems esa informacin debe estar cifrada.

Reenvo de mensajes Tomando en cuenta que cierta informacin esta dirigida a personas especficas y puede no ser apta para otros, dentro y fuera de la Compaa, se debe ejercer cierta cautela al remitir los mensajes. En todo caso no debe remitirse informacin confidencial de la Compaa sin la debida aprobacin.

Borrado de mensajes Los mensajes que ya no se necesitan deben ser eliminados peridicamente de su rea de almacenamiento. Con esto se reducen los riesgos de que otros puedan acceder a esa informacin y adems se libera espacio en disco.

Cuentas de los usuarios No debe concederse una cuenta a personas que no sean empleados de la Compaa a menos que estn debidamente autorizados, en cuyo caso la cuenta debe expirar automticamente al cabo de un lapso de 30 das.

Privilegios especiales, tal como la posibilidad de modificar o borrar los archivos de otros usuarios, slo deben otorgarse a aquellos directamente responsable de la administracin o de la seguridad de los sistemas. Toda cuenta queda automticamente suspendida despus de un cierto periodo de inactividad. El periodo recomendado es de 30 das. Cuando un empleado es despedido o renuncia a la Compaa, debe desactivarse su cuenta antes de que deje el cargo.

Contraseas v el control de acceso El usuario no debe guardar su contrasea en una forma legible en archivos en disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser encontrada. Si hay razn para creer que una contrasea ha sido comprometida, debe cambiarla inmediatamente.

No deben usarse contraseas que son idnticas o substancialmente similares a contraseas previamente empleadas.

Siempre que sea posible, debe impedirse que los usuarios vuelvan a usar contraseas anteriores.

Nunca debe compartirse la contrasea o revelarla a otros. El hacerlo expone al usuario a las consecuencias por las acciones que los otros hagan con esa contrasea.

Controles para evaluar el software de aplicacin Revisar la seguridad del software sobre ficheros de datos y programas

Revisar las libreras utilizadas por los programadores

Examinar que los programas realizan lo que realmente se espera de ellos.

Revisar el inventario de software.

Comprobar la seguridad de datos y ficheros

Examinar los controles sobre los datos

Planes de Contingencia Toda empresa debe contar que son los Planes de Contingencia.

As independientemente de que las estrategias se formulen, implanten y evalen con gran cuidado, hay circunstancias imprevistas como huelgas, boicots, desastres naturales, presencia de competidores extranjeros y acciones gubernamentales que pueden hacer que la estrategia quede obsoleta. Para reducir al mnimo el impacto de las amenazas en potencia, las organizaciones deben desarrollar planes de contingencia como parte de su proceso para evaluar estrategias. Los planes de contingencia se pueden definir como planes alternativos que se pueden poner en prctica cuando ciertos hechos clave no ocurren como se esperaba. Slo las reas que tienen

verdadera prioridad requieren la seguridad de planes de contingencia. Los estrategas no pueden ni deben tratar de cubrir todas las bases, haciendo planes para todas las contingencias posibles.

Cuando las actividades para evaluar estrategias revelan rpidamente la necesidad de un cambio mayor, el plan de contingencia adecuado se puede ejecutar en forma oportuna. Los planes de contingencia pueden mejorar la capacidad del estratega para responder velozmente a los cambios clave operados en las bases internas y externas de la estrategia presente de la organizacin. Por ejemplo, si los supuestos bsicos acerca de la economa resultan equivocados y existen planes de contingencia ya preparados, en tal caso los gerentes pueden hacer los cambios adecuados con oportunidad.

SEGUROS Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino aunque son de gran importancia. Existe un gran problema en la obtencin de los seguros ya que a veces el agente de los seguros es una persona que conoce mucho de seguros; riesgos comerciales, riesgos de vida, etc. Pero muy poco sobre computadoras, y el personal de informtica conoce mucho sobre computacin y muy poco sobre seguros.

Se deben verificar las fechas de vencimiento de las plizas, pues puede suceder que se obtenga la pliza adecuada pero vencida, y que se encuentre actualizada con los nuevos equipos. El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas por lo cual convenga tener dos o mas plizas por separado, cada una con las especificaciones necesarias. El seguro debe cubrir tantos daos causados por factores externos (terremotos, inundaciones, etc.)Como factores internos (daos ocasionados por negligencia de los operadores, daos debidos al aire acondicionado).

PROCEDIMIENTOS DE RECUPERACIN DE DESASTRES Se debe establecer en cada direccin de informtica un plan de emergencia el cual ha de ser aprobado por la direccin de informtica y contener tanto procedimientos como informacin para ayudar a la recuperacin de interrupciones en la operacin del sistema de cmputo. Algunas compaas se resisten a tener un plan para caso de desastres o emergencia, considerado que esto es imposible.

El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en situaciones de emergencia se tenga la seguridad que funcione.

Las revisiones al plan se deben realizar cuando se halla efectuado algn cambio en la configuracin del equipo o bien en periodos semestrales. Una de las principales objeciones al plan de emergencia es su costo. El plan de emergencia, una vez aprobado, se distribuyen entre personal responsable de su operacin, por precaucin es conveniente tener una copia fuera de la direcciones de informtica. La virtud de la informacin que contiene el plan de emergencia se considera como confidencial o de acceso restringido. La Elaboracin del plan y los componentes pueden hacerse en forma independiente de acuerdo con los requerimientos de emergencia. La estructura del plan debe ser tal que facilite su actualizacin.

Los desastres que pueden suceder se pueden clasificar de la siguiente manera: Completa destruccin del centro de computo Destruccin parcial del centro de computo Destruccin o mal funcionamiento de los equipos auxiliares del centro de computo (electricidad, aire acondicionado, etc.) Destruccin parcial o total de los equipos descentralizados Perdida total o parcial de informacin, manuales o documentacin Perdida del personal clave Huelga problemas laborales

El plan en caso de desastre debe incluir: La documentacin de programacin y de operacin de los equipos El equipo completo El ambiente de los equipos Datos y archivos Papelera y equipo accesorio Sistemas (sistemas operativos, base de datos, programas de utilera, programas).

Cuando el plan sea requerido debido a una emergencia, el grupo deber: Asegurar que todos los miembros sean notificados Informar al director de informtica Cuantificar el dao o perdida del equipo, archivos y documentos para definir que parte del plan debe ser activada Determinar el estado de todos los sistemas en proceso Notificar a los proveedores del equipo cual fue el dao

Es conveniente incluir en el acuerdo de soporte reciproco los siguientes puntos: Configuracin del equipo Configuracin de equipo de captacin de datos Sistemas operativos Configuracin de equipos perifricos

Finalmente se deber estudiar que se tenga una lista de los requerimientos mnimos que deben tener para un efectivo plan de recuperaciones caso de desastre.

TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FSICA Y DEL PERSONAL

Seguridad fsica El objetivos establecer polticas, procedimientos y practicas para evitar las interrupciones prolongadas del servicio de procesamientos de datos, informacin debido a contingencias como incendios, inundaciones, huelgas, disturbios, sabotaje, etc. Y continuar en un medio de emergencia asta que sea restaurado el servicio por completo. Pensemos que una persona que desea perjudicar a la organizacin querr daar su cerebro o centro de informacin, por lo que en la actualidad se considera extremamente peligroso tener el centro de cmputo en las reas de alto grafico de personas o bien en la calle o con un alto numero de invitados. Entre las precauciones que se deben revisar estn: Los ductos del aire acondicionado deben de estar limpios, se habr contar con detectores de humo que indiquen la posible presencia del fuego. En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y los equipos de teleproceso. En cuanto a los extinguidotes, se debe de revisar el numero de estos, su capacidad, fcil acceso, peso y tipo de producto que se utiliza. Tambin se debe ver si el personal sabe usar los equipos contra incendios y si a habido practicas en cuanto su uso Existan suficientes salidas de emergencia y que estn debidamente controladas para evitar robos

Seguridad en el personal Un buen centro de cmputo depende, en gran medida, de la integridad, estabilidad y lealtad de personal por lo que el momento de reclutarlo es conveniente hacerle exmenes psicolgicos, mdicos y tener muy en cuenta sus antecedentes de trabajo. Se debe considerar los valores sociales, en general, su estabilidad ya que normalmente son personas que trabajan bajo presin y con mucho estrs, por lo que importan mucho su actitud y su comportamiento. Se deben verificar que existan adecuadas polticas de vacaciones (lo cual nos permite evaluar la dependencia con algunas personas y evitar esa dependencia) y de reemplazo. La adecuada poltica de reemplazo en caso de renuncia alguna persona permitir que en caso necesario, se pueda cambiar a una persona sin arriesgar el funcionamiento de la organizacin. Tambin se deben tener polticas de rotacin del personal que desminuyan la posibilidad de fraude, ya que un empleado puede estar haciendo otra actividad en un mes y ser muy allegado

cometer un fraude, sabiendo que la nueva persona que este en su lugar puede detectarlo fcilmente. Eso se debe hacer principalmente en funciones de alto nivel de confianza, aunque implique un alto costo. Se deber tambin evaluar la motivacin del personal ya que un empleado motivado normalmente tiene un alto grado de lealtad y disminuir la posibilidad de ataques intencionados a la organizacin.

UNIDAD 5: AUDITORIA DE LA SEGURIDAD TELEINFORMATICA 5.1 Generalidades de la seguridad en el rea de la teleinformtica. En la actualidad tiene una gran trascendencia tanto tcnica como social, lo que se denomina teleinformtica: la unin de la informtica y las telecomunicaciones. Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso de expresiones y conceptos relacionados con la teleinformtica. Este trabajo se basa en conceptos fundamentales expresados de la manera ms simple posible, pero a su vez siendo precisos. Comenzamos por introducir la historia y evolucin de la teleinformtica y de la manera en que fue desarrollndose, y a su vez, proporcionando un panorama general del tema. Luego mencionamos de forma genrica los elementos que integran un sistema teleinformtico, desde un simple terminal hasta una red. Continuamos explicando las tcnicas fundamentales de transmisin de datos, para comprender cmo viaja la informacin de un sistema a otro a travs de los circuitos de telecomunicacin. Las tcnicas de comunicacin se estructuran en niveles: fsico, enlace de datos, red, transporte, sesin, presentacin y aplicacin. Tambin, mencionamos las redes de rea local ya que son muy importantes en lo que a la teleinformtica respecta. Hicimos encapi en la red Internet y su protocolo TCP/IP, y en los conceptos bsicos sobre Programas de Comunicacin y Gestin de Red. Analizamos los servicios de valor aadido como el Videotex, Ibercom o La Telefona Mvil. Adems, establecimos los ltimos desarrollos y las tendencias de la teleinformtica, desde las redes digitales hasta el proceso distribuido. Por ltimo, manifestamos la importancia de la relacin que existe entre la teleinformtica y la sociedad, en lo que respecta a la educacin, la sanidad y la empresa. Explicaremos claramente la importancia de la teleinformtica y su desarrollo a travs de la historia desde el comienzo ya que es uno de los factores que ha constituido y constituye un elemento fundamental para la evolucin de la humanidad: la comunicacin. En una comunicacin se transmite informacin desde una persona a otra e intervienen

tres elementos: el emisor, que da origen a la informacin, el medio, que permite la transmisin, y el receptor, que recibe la informacin. La primera comunicacin que existi entre los hombres fue a base de signos o gestos que expresaban intuitivamente determinadas manifestaciones con sentido propio. Estos gestos iban acompaados de sonidos. Posteriormente, comenz la comunicacin hablada a travs de un determinado lenguaje, en el cul cada palabra significaba algo y cada frase tena un contenido informativo. Ms tarde, el hombre tuvo necesidad de realizar comunicaciones a distancia como por ejemplo, entre personas de dos aldeas situadas a cierta distancia pero con visibilidad entre ambas, o bien entre un barco y la costa. Es aqu donde aparecen las seales de humo, destellos con espejos entre innumerables mtodos de comunicacin. Con el paso del tiempo y la evolucin tecnolgica, la comunicacin a distancia comenz a ser cada vez ms importante. La primera tcnica utilizada surgi con la aparicin del telgrafo y el cdigo morse que permitieron comunicaciones a travs de cables a unas distancias considerables. Posteriormente se desarroll la tcnica que dio origen al telfono para la comunicacin directa de la voz a larga distancia. Ms tarde la radio y la transmisin de imgenes a travs de la televisin habilitaron un gran nmero de tcnicas y mtodos que luego fueron muy importantes a lo que respecta a la comunicacin. 5.1 Objetivos y criterios de la auditoria en el rea de teleinformtica. As ante la continua aparicin de nuevas herramientas de gestin, la auditora interna se ve compelida a velar entre otras cosas por la aplicacin y buen uso de las mismas. Ello ciertamente implica un muy fuerte compromiso. Dijimos antes que la auditora deba velar no slo por los activos de la empresa sino adems por su capacidad competitiva. Cuidar de esto ltimo significa difundir, apoyar y controlar las nuevas y buenas prcticas. As, haciendo uso del benchmarking puede verificar y promover las mejores prcticas para el mantenimiento de la ms alta competitividad. Ser competitivo es continuar en la lucha por la subsistencia o continuidad de la empresa. Como brillantemente lo expresa Fernando Gaziano (Deloitte Chile), "los auditores y los astrnomos compartimos plenamente una idea: el universo se expande. As como despus del "big bang" un universo de planetas y estrellas comenz y contina expandindose, de la misma forma el mundo del Auditor Interno es cada vez ms amplio. Como nunca, probablemente hoy se enfrenta a uno de los cambios ms importantes en su profesin, debiendo abordar aspectos relacionados con el Gobierno Corporativo y los nuevos riesgos a los que se enfrentan las organizaciones. 5.3 Sntomas de riesgos teleinformtica. Sntomas de Riesgo Teleinformtica Los sistemas teleinformticos o tambin llamados sistemas funcionales de comunicacin de datos son formas de trabajo que en general responden a necesidades concretas de los usuarios informticos que trabajan en la modalidad fuera de planta o remota. Los principales objetivos que tiene que satisfacer un sistema teleinformtico son los siguientes: Reducir tiempo y esfuerzo.

Capturar datos en su propia fuente. Centralizar el control. Aumentar la velocidad de entrega de la informacin. Reducir costos de operacin y de captura de datos. Aumentar la capacidad de las organizaciones, a un costo incremental razonable. Aumentar la calidad y la cantidad de la informacin. Mejorar el sistema administrativo. Casos en que los sistemas informticos, son especialmente aptos para que utilicen tcnicas teleinformticas: Cuando se desea reducir un elevado volumen de correo, de llamadas telefnicas o de servicios de mensajera. En los casos en que se efecten muy a menudo operaciones repetitivas, tales como crear o copiar a ser procesados o directamente duplicar informacin ya procesada. Cuando sea necesario aumentar la velocidad de envo de la informacin, mejorando las funciones administrativas. En la ejecucin de operaciones descentralizadas. Para mejorar el control, descentralizando la captura de datos y centralizando su procesamiento. En los casos en que es necesario disminuir riesgos en el procesamiento de la informacin, debido a problemas tcnicos del hardware. Cuando sea menester mejorar la actividad de planificacin en la organizacin. 5.4 Tcnicas y herramientas de auditora relacionadas con la seguridad en la teleinformtica. Introducir al estudiante en los aspectos tcnicos, funcionales y organizacionales que componen la problemtica de seguridad en las redes teleinformticas, ilustrando las operaciones, tcnicas y herramientas ms usuales para garantizar privacidad, autenticacin y seguridad. Introduccin General a la Seguridad en Redes Definiciones Generalidades Intrusos Amenazas Ataques

Planeacin de la Seguridad: Anlisis del sistema actual Anlisis de riesgos Definicin de polticas de seguridad Implantacin de la seguridad

Servicios de Seguridad o o Modelo OSI para arquitecturas de Seguridad Modelo TCP/IP

http://wwwwdetodounpoco-ernesto.blogspot.com/2010/07/unidad-5-auditoria-de-la-seguridad.html

UNIDAD 6 INFORME DE AUDITORIA

El Informe de Auditora es la comunicacin de auditor informtico al cliente, de manera formal, tanto del alcance de la auditora; (objetivos, perodo de cobertura, naturaleza, y extensin del trabajo realizado) como de resultados y conclusiones. Previo a la redaccin del informe, el auditor distingue lo significativo de lo que no lo es evalundolos de manera adecuada de acuerdo a su importancia y a la vinculacin con el factor riesgo. Aunque no existe un formato oficial, si existen esquemas recomendados con los requisitos mnimos aconsejables respecto a la estructura y contenido. En cuanto a la redaccin el informe deber ser claro, adecuado, suficiente y comprensible. La presentacin de las conclusiones podr hacerse de la siguiente forma: 1. Una breve descripcin de la situacin actual en la cual se reflejan los puntos ms importantes. 2. una descripcin detallada que comprende: a. Los problemas detectados. b. Posibles causas, problemas y fallas que originaron la situacin presentada. c. Repercusiones que pueden tener los problemas detectados. d. Alternativas de solucin. e. Comentario y observaciones de la Direccin de Informtica y de los usuarios sobre las soluciones propuestas. f. Si se opta por una alternativa de solucin, cules son sus repercusiones, ventajas y desventajas, y tiempo estimado para efectuar el cambio. 3. Debe hacerse hincapi en cmo se corregir el problema o se mejorar una determinada situacin, se obtendrn los beneficios, en cuanto tiempo y cuales son los puntos dbiles. 4. Se debe romper la resistencia a la lectura que tienen algunos ejecutivos por medio de conclusiones concretas (tratar de que se entiendan los trminos tcnicos, de ser posible utilizar tcnicas audiovisuales) Los puntos esenciales genricos y mnimos del Informe de Auditora son:

1. Identificacin del informe: un nombre que lo identifique de otros informes. Ejemplo: Auditoria de DD de la aplicacin School 2. Identificacin del cliente: destinatarios y personas que solicitan la auditora. Ejemplo: DHC Marcelo Martnez. Profesor titular efectivo UNLaR 3. Identificacin de la entidad auditada: organizacin/entidad/rea objeto de la auditoria informtica. Ejemplo: Aplicacin School. Ctedra de Auditoria de sistemas. UNLaR ciclo 2008 4. Objetivos de la auditoria informtica: identificar el propsito de la auditoria. Ejemplo: Inspeccin del diccionario de datos de la aplicacin School. 5. Normativa aplicada: identificar las normas legales y profesionales. Ejemplo: Normas profesionales Normas legales Modelo de Boyce Codd. 6. Alcance de la auditoria: Naturaleza y extensin del trabajo, a saber: a. rea de la organizacin: Ejemplo: Catedra de AS b. Periodo de la auditoria: Ejemplo: 01/10/08 al 8/10/08 c. Sistemas/reas a auditar: Ejemplo: Aplicacin School - DD d. Herramientas utilizadas: Ejemplo: Aplicacin School Data Modeler e. Limitaciones al alcance: Ejemplo: No se audita el contenido de las tablas, sino su diseo y estructura en cuanto a la normalizacin de datos segn el modelo de Boyce Codd. f. Restricciones del objeto auditado: Ejemplo: No existen. Se provee todo el sistema en su versin de fuentes, ejecutables, ayudas y accesorios.7. Informe corto Resultados Dictamen Opiniones Prrafos de salvedades y nfasis de ser necesarios. a. Opinin favorable: opinin calificada sin salvedades, limpia, clara y precisa. No tiene limitaciones de alcance y sin incertidumbre. Estn acordes con la normativa legal y profesional.- Deben ser expresadas en lenguaje coloquial, sin ambigedades y medible en todos sus trminos. Ejemplos: Las tablas del SGBD (Sistema Gestor de Base de Datos) estn normalizadas y respetan el modelo de Boyce Codd. // El cdigo fuente del sistema de cuentas corrientes de clientes, respeta los principios de automatismo y determinismo. b. Opinin con salvedades: opiniones favorables, pero que se afectan por las siguientes circunstancias: i. Limitaciones al alcance del trabajo realizado, restricciones por parte del rea auditada, por ejemplo. ii. Incertidumbre que no permite una previsin razonable. iii. Irregularidades significativas iv. Incumplimiento de la normativa legal y profesional. Ejemplos: Las tablas del SGBD estn normalizadas y respetan el modelo de 3era FN (Forma Normal). No obstante, en el manual de diseo de bases de datos del sistema, se exige el modelado de los datos segn el modelo de 5ta forma normal de Boyce Codd. // El cdigo fuente del sistema de cuentas corrientes de clientes respeta el principio de automatismo, mas no asi el de determinismo. En un 20% el sistema no se comporto determinsticamente ante un mismo lote de prueba.Consideraciones: Este tipo de opinin puede generar para cada caso una o ms recomendaciones del auditor informtico.Como serian las recomendaciones de las opiniones con salvedades arriba informadas? c. Opinin desfavorable: Esta opinin se aplica en casos de: i. Identificacin de irregularidades ii. Incumplimiento de la normativa legal que afectan significativamente los objetivos de la auditoria informtica. Deben tener una resea detallada en el informe largo. iii. Incumplimiento de la normativa profesional: que afectan significativamente los objetivos de la auditoria informtica. Deben tener una resea detallada en el informe largo.

Ejemplo: El motor de bases de datos identificado como Informix V2.0 no posee licencias habilitantes. // Los profesionales de sistemas de la organizacin no poseen ttulos habilitantes ni matricula profesional.Consideraciones: Este tipo de opinin puede generar para cada caso una o ms recomendaciones del auditor informtico.Como serian las recomendaciones de las opiniones con salvedades arriba informadas? d. i. ii. iii. iv. Opinin denegada: Tienen su origen por: Limitaciones al alcance Incertidumbres significativas que no permiten al auditor formar una opinin Irregularidades Incumplimiento de normativa legal y profesional

Ejemplo: No se audito la normalizacin de tablas segn el modelo de Boyce Codd, debido a que fue denegado el acceso al diccionario de datos del sistema. // No se audito el perfil profesional de los especialistas de sistemas por negativa de entrevistas y pruebas de aptitud profesional y desempeo.Consideraciones: Este tipo de opinin puede generar para cada caso una o ms recomendaciones del auditor informtico.Como serian las recomendaciones de las opiniones con salvedades arriba informadas? 8. Resultados: Informe largo e informes anexos: Es una ampliacin de todas y cada una de las opiniones del punto anterior.- Los usuarios, no hay duda, desean saber mas y quieren transparencia como valor aadido. El limite lo determinan los papeles de trabajo o documentacin del a auditoria informtica, pero deben considerarse los siguientes aspectos: a. Secreto de la organizacin b. Secreto profesional entre otros. Algunas organizaciones pblicas-gubernamentales y privadas solicitan informes adicionales. Ej. Bancos, Bolsa de comercio, etc. 9. Informes previos: Considerando que el informe de auditoria informtica es parte de un informe de conjunto o bien ya existen otros informes de auditoria que resultan significativos al informe actual.La deteccin de irregularidades significativas (fraudes por ejemplo) requiere de una actuacin inmediata segn las normas legales y profesionales. Recordar la responsabilidad civil del auditor informtico.10. Fecha del informe: muy importante, ya que permite la cuantificacin de los honorarios, cumplimiento de los tiempos con el cliente y la magnitud del trabajo y sus aplicaciones. Debe considerarse: a. Fecha de inicio b. Fecha de finalizacin c. Fecha de cierre del ejercicio econmico ( en caso de organizaciones que lo requieren como obligatorio) Nota: estas fechas deben ser concordantes con el plan de trabajo propuesto antes de realizar la auditoria.11. Identificacin y firma del auditor: Aspecto formal y esencial del informe. Tanto de ser individual como grupal (socios legalmente comprometidos) 12. Distribucin del informe: Hace referencia a quien o quienes podrn hacer uso del informe, los usos concretos que tendr, ya que los honorarios deben tener relacin con la responsabilidad civil. 13. Anexo: Documentacin y otros papeles de trabajo a. Contrato cliente/auditor b. Propuesta del auditor c. Identificacin del auditor. Presentacin y CV de ser requerido d. Declaraciones de la direccin e. Otros contratos que afecten al sistema de informacin

Asesora jurdica del cliente Informes sobre terceros vinculados Conocimiento de la actividad del cliente Evidencia i. Relevante ii. Fiable iii. Suficiente iv. Adecuada Ejemplo: Cdigo fuente, modelo de datos, diccionario de datos, pantallas del sistema, entre otros.. Como ejemplo de formato de presentacin de conclusiones de Auditoria en Informtica consideraremos el presentado por J. A. Echenique (analizarlo para ver con que puntos de los recomendados cumple). Es conveniente tambin revisar el formato de seguimiento propuesto por el mismo autor.

f. g. h. i.


Antologia 2012

Antologia 2012

Documents
Antologia Humana

Antologia Humana

Documents
Antologia microrrelatos

Antologia microrrelatos

Documents
antologia capacitacion

antologia capacitacion

Documents
Antologia arcade

Antologia arcade

Internet
Metodologia antologia

Metodologia antologia

Documents
Antologia 2

Antologia 2

Documents
ANTOLOGIA ADMINISTRACION

ANTOLOGIA ADMINISTRACION

Documents
Antologia DSS.desbloqueado

Antologia DSS.desbloqueado

Documents
antologia lecturas.pptx

antologia lecturas.pptx

Documents
Antologia Pec

Antologia Pec

Documents
antologia narrativa

antologia narrativa

Documents
Antologia i

Antologia i

Documents
Pensamiento antologia

Pensamiento antologia

Documents
Antologia Cocteleria

Antologia Cocteleria

Documents
Antologia Quimica10

Antologia Quimica10

Documents
Narvaez Antologia

Narvaez Antologia

Documents
Antologia de Auditoria Administrativa

Antologia de Auditoria Administrativa

Documents
Antologia Completa

Antologia Completa

Documents
ANTOLOGIA GRÁFICA, ANTOLOGIA CRÍTICA · 2019-08-04 · RESUMO OVIDIO, João Paulo Brito dos Santos. Antologia gráfica, antologia crítica: os discursos críticos sobre as gravuras

ANTOLOGIA GRÁFICA, ANTOLOGIA CRÍTICA · 2019-08-04 · RESUMO OVIDIO, João Paulo Brito dos Santos. Antologia gráfica, antologia crítica: os discursos críticos sobre as gravuras

Documents
ANTOLOGIA ECONOMÍA EMPRESARIAL · ANTOLOGIA ECONOMÍA EMPRESARIAL ... TEORIA DEL CONSUMIDOR

ANTOLOGIA ECONOMÍA EMPRESARIAL · ANTOLOGIA ECONOMÍA EMPRESARIAL ... TEORIA DEL CONSUMIDOR

Documents
antologia FISICA.docx

antologia FISICA.docx

Documents
INSTRUMENTACION ANTOLOGIA

INSTRUMENTACION ANTOLOGIA

Documents
ANTOLOGIA COMUNICACION

ANTOLOGIA COMUNICACION

Documents
ANTOLOGIA CANCIONES.docx

ANTOLOGIA CANCIONES.docx

Documents
antologia literaria

antologia literaria

Documents
Antologia de Auditoria

Antologia de Auditoria

Documents
ANTOLOGIA SOCIOLOGIA

ANTOLOGIA SOCIOLOGIA

Documents
CESARE - antologia

CESARE - antologia

Documents
Antologia Cuarto

Antologia Cuarto

Documents