Embed Size (px)
Citation preview
AUDITORIAy SEGURIDAD INFORMÁTICA
Informática Básica AplicadaUNLaR Ciclo 2008Prof. Marcelo Martínez
Porqué?• La vulnerabilidad acarreada
por los computadores• Impacto de los
computadores sobre las tareas de auditoría
• La adecuación de las normas de auditoría a un entorno electrónico
Auditar
• Ejercer control sobre una determinada acción
• Donde auditamos a menudo?– A nivel personal– A nivel laboral– A nivel académico
Control
• Actividad/es o acción/es realizadas por uno o varios elementos de un sistema, que tienen como finalidad la prevención, detección y corrección de errores que afecten la homeostasis del sistema
I/E Proceso C O/S
Etimología – AUDITORIUS• Latín: Auditor, que tiene la
virtud de oir
Diccionario – AUDITOR
• Revisor de cuentas colegiado
Auditoria
• Es el examen de la información por TERCERAS partes, distintas de quienes la generan y quienes la utilizan
• Se produce con la intención de establecer su suficiencia y adecuación a las normas.- Es necesario poder medirlas, necesitamos un patrón
• Produce informes como resultado del examen critico
• Su objetivo es: evaluar la eficiencia y eficacia, determinar cursos de acción alternativos y el logro de los objetivos propuestos
• MEJORA CONTINUA!!!!
Auditoria según IMC
• Agrega a la definición anterior.– La auditoria requiere el
ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos
IMC= Instituto Mexicano de Contabilidad
Pregunta?
• Alberto es contador• Alberto es responsable
– Ambos son juicios?
NO• La primera es una afirmación,
observación de lo que es verdadero para nosotros. Nos permiten describir al manera en que vemos las cosas
• La segunda es un JUICIO, un tipo especial de DECLARACION. Es una apreciación, opinión o interpretación NUESTRA de lo que observamos.
Caso de estudio ….
Virginia, tiene 30 años, estudió en Córdoba y es muy agradable como ser humano.
Actualmente esta casada, tiene 3 hijos y su capacidad profesional asombra a todos sus colegas.
Vive en La Rioja y su casa es muy linda.
Hoy nos acompaña en esta clase y esta muy alegre de compartir con todos nosotros la clase.
Que es un JUICIO?
• Una declaración• No son verdaderos o falsos. Dejan siempre
abierta la posibilidad a discrepar• Son validos o inválidos. Su validez depende
de la AUTORIDAD que la comunidad confiera a otros para emitirlos
• El grado de efectividad de los juicios esta directamente relacionado con la autoridad formal o informal que hemos conferido a la persona que los hace.
• Temas relacionados:– Ontología del lenguaje– Postulados básicos de la OL
Fundamentación de los JUICIOS
• Cada vez que emitimos un juicio asumimos el compromiso social de fundarlo, es decir, mostrar las observaciones pasadas en las que se asienta nuestro juicio y la inquietud o interés por el futuro que lo motiva
Auditoria Informática
• Revisión, análisis y evaluación independiente y objetiva de un entorno informático– Hardware– Software
• Base• Aplicación
– Comunicaciones– Procedimientos-Gestión de
recursos informáticos
Tener en cuenta…
• Los objetivos fijados• Los planes, programas y
presupuestos• Controles, leyes aplicables,
entre otros….
Tipos de Auditoría
• Evaluación del sistema de control interno
• De cumplimiento de políticas, estándares y procedimientos
• De seguridad: física y lógica• De operaciones/gestión• Interna/Externa
Fuentes
• Todo tipo de fuente referido a:– Hardware– Software– Instalaciones– Procedimientos
Check List
• Revisión del Hardware– -– -
• Revisión del Software– -– -
• Instalaciones– -– -
• Procedimientos– -– -
Principios fundamentales de la auditoria en una computadora• AUTOMATISMO del
computador– Programa - Algoritmo– No al comportamiento
probabilístico
• DETERMINISMO del algoritmo– Ante un conjunto de datos de
entrada, siempre se obtengas una misma salida
El Control
• Interno– Creación de relaciones adecuadas
entre las diversas funciones del negocio y los resultados finales de operación.
• Interno Electrónico– Comportamiento de los circuitos
electrónicos. Ej. Transmisión de datos• Interno Informático
– Verifica el cumplimiento de los procedimientos, estándares y normas fijadas por la dirección de informática, como así también los requerimientos legales
La seguridad de los sistemas de informaciónLa protección de los activos
informáticos
Seguridad, algunos conceptos• Seguridad
– Protección contra perdidas– Es un sistema seguro,
impenetrable?• Grados de seguridad Vs costo
– Naturaleza de las amenazas – contingencias
• A que apuntan las medidas de seguridad?– Integridad, confidencialidad,
privacidad y continuidad
Integridad
• Completa y correcta• Datos libres de errores
– Intencionales como no intencionales
• No contradictorios!!!
Confidencialidad
• Proteger la información contra la divulgación indebida
Privacidad
• Tiene que ver con la persona• Similar a intimidad• Información que un individuo no
desea tenga difusión generalizada
• Que sucede cuando el derecho de los individuos se contraponen con las necesidades de las organizaciones privadas o publicas?
Continuidad
• Seguir Operando!!!!
Sensitividad
• Atributo que determina que la información deberá ser protegida
Identificación
• Declaración de ser una persona o programa– Numero ID– T Magnética– Registro de Voz– Etc
Autenticar
• Es una prueba de identidad
• Debe ser secreto• Ejemplos....LAS
PASSWORDS
Autorización
• Función del sistema de control
• Es el QUIEN DEBE HACER QUE...
• Debe ser especifica, no general
Contingencia
• Es una amenaza al conjunto de los peligros a los que están expuestos los recursos informáticos de una organización
• Recursos:– Personas– Datos– Hardware– Software– Instalaciones– .....
Categorías de Contingencias
Ambientales• Ambientales naturales
– Inundación, incendio, filtraciones, alta temperatura, terremoto, derrumbe explosión, corte de energía, disturbios, etc
• Ambientales operativas– Caída o falla del procesador,
periféricos, comunicaciones, software de base/aplicación, AC, Sistema eléctrico, etc
Categorías de contingencias Humanas
• Humanas no intencionales– Errores y/o omisiones en el
ingreso de datos, errores en backup, falta de documentación actualizada, en daños accidentales...
• Humanas intencionales– Fraude, daño intencional,
terrorismo, virus, hurto, robo, etc.
Cuales son los desastres mas comunes que pueden afectar los sistemas?• Virus• Fuego• Inundaciones• Cortes de electricidad• Interferencias eléctricas• Fallas mecánicas• Sabotaje• Empleados descontentos• Uso indebido de recursos
Vulnerabilidad
• Debilidad que presenta una organización frente a las contingencias que tienen lugar en el entrono del procesamiento de datos.
• Falta de protección ante una contingencia• Se da ante la falta de:
– Software de protección– Responsables a cargo de la SI– Planes de seguridad, contingencias– Inadecuada/o:
• Selección y capacitación• Diseño de sistemas, programación,
operación• Backups• Auditorias I/E
Consecuencia
• Daño o perdida potencial ante la ocurrencia de una contingencia
• Algunas consecuencias inmediatas:– Imposibilidad de procesar– Perdida de archivos y registros– Lectura indebida
• Otras consecuencias mediatas:– Legales– Económicas/financieras– Incidencia en otros sistemas
Tipos de Medidas de seguridad
• Preventivas– Limitan la posibilidad de que
se concreten las contingencias
• Detectivas– Limitan los efectos de las
contingencias presentadas
• Correctivas– Orientadas a recuperar la
capacidad de operación normal
Que tipo de controles pueden efectuarse para aumentar la seguridad?
• Acceso Físico• Acceso Lógico
Métodos de control de accesos
• Contraseñas– Características, fuerzas y
debilidades
• Otros medios de autenticación– Impresiones digitales– RPV– Medidas de geometría de mas
manos– Iris del ojo
Que es una pista de auditoria?• Huella o registro generado
automáticamente• Orientado a un análisis
posterior• Permite reconstruir el
procesamiento• Es un CAMINO HACIA
ATRÁS...
Backups y recuperación
• Hardware• Software• Algunas preguntas
frecuentes– De que dependen?– Como se manifiestan?– Donde se realizan?– Cada cuanto deben
realizarse?
Que es y como contribuye la criptografía a la SI?• Ininteligibilidad a usuarios
no autorizados• Métodos de encriptación
– Valiosos para la protección de datos y redes
– Usan algoritmos matemáticos en función de cadenas validas o passwords
Delitos informáticos
• Delito de computación– Usa una computadora
• Objeto del delito• Escena del delito• Instrumento del delito
• Delito en Internet– Acceso, uso, modificación y
destrucción no autorizados de Hard/Soft, datos y recursos de redes
– Distribución no autorizada de información
– Copia no autorizada de software– ....
Perfil del delincuente informático• En base a estudios, su perfil es
– Joven• Mayoría de técnicos jóvenes• Ausencia de responsabilidad profesional
– Mejores y mas brillantes empleados– Ocupan puestos de confianza– No se encuentran solos. Cuentan con
ayuda– Aprovecha el abandono de las normas o
estándares– Síndrome de Robin Hood– Juega con el desafío. Reto intelectual
Planes principales de un programa de administración de la seguridad de sistemas• Seguridad• Contingencias
ES MUY IMPORTANTE EL APOYO DELA DIRECCION SUPERIOR, SIN CUYORESPALDO EXPLICITO Y CONTINUOTALES PLANES NO PODRAN SERCUMPLIDOS CON EXITO
Plan de seguridad - PS
• Conjunto de medidas preventivas, detectivas y correctivas destinadas a enfrentar los riesgos a los que están expuestos los activos informáticos de una organización
• Su objetivo esencial es proteger los activos informáticos en cuanto a integridad, confidencialidad, privacidad y continuidad
Plan de contingencias - PC• Conjunto de procedimientos que
luego de producido un desastre, pueden ser rápidamente ejecutados para restaurar las operaciones normales con máxima rapidez y mínimo impacto
• Es un capitulo del plan de seguridad – Medidas correctivas
• Objetivos esenciales– Minimizar el impacto– Promover una rápida recuperación de
la operatividad
Matriz de Análisis de Riesgos
• Como es su estructura?• Qué información podemos
extraer de ella?
Gracias
