AUDITORIA
y SEGURIDAD
INFORMÁTICA
Informática Básica Aplicada
UNLaR
Ciclo 2008
Prof. Marcelo Martínez
Porqué?
• La vulnerabilidad acarreada
por los computadores
• Impacto de los computadores
sobre las tareas de auditoría
• La adecuación de las normas
de auditoría a un entorno
electrónico
Auditar
• Ejercer control sobre una
determinada acción
• Donde auditamos a menudo?
– A nivel personal
– A nivel laboral
– A nivel académico
Control
• Actividad/es o acción/es
realizadas por uno o varios
elementos de un sistema, que
tienen como finalidad la
prevención, detección y
corrección de errores que
afecten la homeostasis del
sistema
I/E
Proceso
C
O/S
Etimología – AUDITORIUS
• Latín: Auditor, que tiene la
virtud de oir
Diccionario – AUDITOR
• Revisor de cuentas colegiado
Auditoria
• Es el examen de la información por
TERCERAS partes, distintas de quienes la
generan y quienes la utilizan
• Se produce con la intención de establecer su
suficiencia y adecuación a las normas.- Es
necesario poder medirlas, necesitamos un patrón
• Produce informes como resultado del
examen critico
• Su objetivo es: evaluar la eficiencia y
eficacia, determinar cursos de acción
alternativos y el logro de los objetivos
propuestos
• MEJORA CONTINUA!!!!
Auditoria según IMC
• Agrega a la definición
anterior.
– La auditoria requiere el
ejercicio de un juicio
profesional, sólido y maduro,
para juzgar los procedimientos
que deben seguirse y estimar
los resultados obtenidos
IMC= Instituto Mexicano de Contabilidad
Pregunta?
• Alberto es contador
• Alberto es responsable
– Ambos son juicios?
NO
• La primera es una afirmación,
observación de lo que es
verdadero para nosotros. Nos
permiten describir al manera en
que vemos las cosas
• La segunda es un JUICIO, un tipo
especial de DECLARACION. Es
una apreciación, opinión o
interpretación NUESTRA de lo
que observamos.
Caso de estudio ….
Virginia, tiene 30 años, estudió en
Córdoba y es muy agradable como
ser humano.
Actualmente esta casada, tiene 3 hijos
y su capacidad profesional asombra
a todos sus colegas.
Vive en La Rioja y su casa es muy
linda.
Hoy nos acompaña en esta clase y esta
muy alegre de compartir con todos
nosotros la clase.
Que es un JUICIO?
• Una declaración
• No son verdaderos o falsos. Dejan siempre
abierta la posibilidad a discrepar
• Son validos o inválidos. Su validez depende de
la AUTORIDAD que la comunidad confiera a
otros para emitirlos
• El grado de efectividad de los juicios esta
directamente relacionado con la autoridad
formal o informal que hemos conferido a la
persona que los hace.
• Temas relacionados:
– Ontología del lenguaje
– Postulados básicos de la OL
Fundamentación de los JUICIOS
• Cada vez que emitimos un
juicio asumimos el
compromiso social de
fundarlo, es decir, mostrar las
observaciones pasadas en las
que se asienta nuestro juicio y
la inquietud o interés por el
futuro que lo motiva
Auditoria Informática
• Revisión, análisis y evaluación
independiente y objetiva de un
entorno informático
– Hardware
– Software
• Base
• Aplicación
– Comunicaciones
– Procedimientos-Gestión de recursos
informáticos
Tener en cuenta…
• Los objetivos fijados
• Los planes, programas y
presupuestos
• Controles, leyes aplicables,
entre otros….
Tipos de Auditoría
• Evaluación del sistema de
control interno
• De cumplimiento de políticas,
estándares y procedimientos
• De seguridad: física y lógica
• De operaciones/gestión
• Interna/Externa
Fuentes
• Todo tipo de fuente referido a:
–
–
–
–
Hardware
Software
Instalaciones
Procedimientos
Check List
• Revisión del Hardware
– – -
• Revisión del Software
– – -
• Instalaciones
– – -
• Procedimientos
– – -
Principios fundamentales de la
auditoria en una computadora
• AUTOMATISMO del
computador
– Programa - Algoritmo
– No al comportamiento
probabilístico
• DETERMINISMO del
algoritmo
– Ante un conjunto de datos de
entrada, siempre se obtengas una
misma salida
El Control
• Interno
– Creación de relaciones adecuadas entre las
diversas funciones del negocio y los
resultados finales de operación.
• Interno Electrónico
– Comportamiento de los circuitos
electrónicos. Ej. Transmisión de datos
• Interno Informático
– Verifica el cumplimiento de los
procedimientos, estándares y normas fijadas
por la dirección de informática, como así
también los requerimientos legales
La seguridad de los
sistemas de información
La protección de los activos informáticos
Seguridad, algunos
conceptos
• Seguridad
– Protección contra perdidas
– Es un sistema seguro, impenetrable?
• Grados de seguridad Vs costo
– Naturaleza de las amenazas –
contingencias
• A que apuntan las medidas de
seguridad?
– Integridad, confidencialidad, privacidad
y continuidad
Integridad
• Completa y correcta
• Datos libres de errores
– Intencionales como no
intencionales
• No contradictorios!!!
Confidencialidad
• Proteger la información contra
la divulgación indebida
Privacidad
• Tiene que ver con la persona
• Similar a intimidad
• Información que un individuo no
desea tenga difusión generalizada
• Que sucede cuando el derecho de
los individuos se contraponen con
las necesidades de las
organizaciones privadas o publicas?
Continuidad
• Seguir Operando!!!!
Sensitividad
• Atributo que determina que la
información deberá ser
protegida
Identificación
• Declaración de ser una persona
o programa
–
–
–
–
Numero ID
T Magnética
Registro de Voz
Etc
Autenticar
• Es una prueba de identidad
• Debe ser secreto
• Ejemplos....LAS PASSWORDS
Autorización
• Función del sistema de control
• Es el QUIEN DEBE HACER
QUE...
• Debe ser especifica, no general
Contingencia
• Es una amenaza al conjunto de los
peligros a los que están expuestos
los recursos informáticos de una
organización
• Recursos:
–
–
–
–
–
–
Personas
Datos
Hardware
Software
Instalaciones
.....
Categorías de Contingencias
Ambientales
• Ambientales naturales
– Inundación, incendio,
filtraciones, alta temperatura,
terremoto, derrumbe explosión,
corte de energía, disturbios, etc
• Ambientales operativas
– Caída o falla del procesador,
periféricos, comunicaciones,
software de base/aplicación, AC,
Sistema eléctrico, etc
Categorías de contingencias
Humanas
• Humanas no intencionales
– Errores y/o omisiones en el
ingreso de datos, errores en
backup, falta de documentación
actualizada, en daños
accidentales...
• Humanas intencionales
– Fraude, daño intencional,
terrorismo, virus, hurto, robo,
etc.
Cuales son los desastres mas comunes
que pueden afectar los sistemas?
•
•
•
•
•
•
•
•
•
Virus
Fuego
Inundaciones
Cortes de electricidad
Interferencias eléctricas
Fallas mecánicas
Sabotaje
Empleados descontentos
Uso indebido de recursos
Vulnerabilidad
• Debilidad que presenta una organización
frente a las contingencias que tienen lugar
en el entrono del procesamiento de datos.
• Falta de protección ante una contingencia
• Se da ante la falta de:
–
–
–
–
Software de protección
Responsables a cargo de la SI
Planes de seguridad, contingencias
Inadecuada/o:
•
•
•
•
Selección y capacitación
Diseño de sistemas, programación, operación
Backups
Auditorias I/E
Consecuencia
• Daño o perdida potencial ante la
ocurrencia de una contingencia
• Algunas consecuencias inmediatas:
– Imposibilidad de procesar
– Perdida de archivos y registros
– Lectura indebida
• Otras consecuencias mediatas:
– Legales
– Económicas/financieras
– Incidencia en otros sistemas
Tipos de Medidas de seguridad
• Preventivas
– Limitan la posibilidad de que se
concreten las contingencias
• Detectivas
– Limitan los efectos de las
contingencias presentadas
• Correctivas
– Orientadas a recuperar la
capacidad de operación normal
Que tipo de controles pueden
efectuarse para aumentar la
seguridad?
• Acceso Físico
• Acceso Lógico
Métodos de control de accesos
• Contraseñas
– Características, fuerzas y
debilidades
• Otros medios de autenticación
– Impresiones digitales
– RPV
– Medidas de geometría de mas
manos
– Iris del ojo
Que es una pista de
auditoria?
• Huella o registro generado
automáticamente
• Orientado a un análisis
posterior
• Permite reconstruir el
procesamiento
• Es un CAMINO HACIA
ATRÁS...
Backups y recuperación
• Hardware
• Software
• Algunas preguntas frecuentes
–
–
–
–
De que dependen?
Como se manifiestan?
Donde se realizan?
Cada cuanto deben realizarse?
Que es y como contribuye la
criptografía a la SI?
• Ininteligibilidad a usuarios no
autorizados
• Métodos de encriptación
– Valiosos para la protección de
datos y redes
– Usan algoritmos matemáticos en
función de cadenas validas o
passwords
Delitos informáticos
• Delito de computación
– Usa una computadora
• Objeto del delito
• Escena del delito
• Instrumento del delito
• Delito en Internet
– Acceso, uso, modificación y destrucción
no autorizados de Hard/Soft, datos y
recursos de redes
– Distribución no autorizada de
información
– Copia no autorizada de software
– ....
Perfil del delincuente
informático
• En base a estudios, su perfil es
– Joven
• Mayoría de técnicos jóvenes
• Ausencia de responsabilidad profesional
– Mejores y mas brillantes empleados
– Ocupan puestos de confianza
– No se encuentran solos. Cuentan con
ayuda
– Aprovecha el abandono de las normas o
estándares
– Síndrome de Robin Hood
– Juega con el desafío. Reto intelectual
Planes principales de un
programa de administración
de la seguridad de sistemas
• Seguridad
• Contingencias
ES MUY IMPORTANTE EL APOYO DE
LA DIRECCION SUPERIOR, SIN CUYO
RESPALDO EXPLICITO Y CONTINUO
TALES PLANES NO PODRAN SER
CUMPLIDOS CON EXITO
Plan de seguridad - PS
• Conjunto de medidas preventivas,
detectivas y correctivas destinadas a
enfrentar los riesgos a los que están
expuestos los activos informáticos
de una organización
• Su objetivo esencial es proteger los
activos informáticos en cuanto a
integridad, confidencialidad,
privacidad y continuidad
Plan de contingencias - PC
• Conjunto de procedimientos que luego de
producido un desastre, pueden ser
rápidamente ejecutados para restaurar las
operaciones normales con máxima rapidez
y mínimo impacto
• Es un capitulo del plan de seguridad –
Medidas correctivas
• Objetivos esenciales
– Minimizar el impacto
– Promover una rápida recuperación de la
operatividad
Matriz de Análisis de Riesgos
• Como es su estructura?
• Qué información podemos
extraer de ella?
Gracia
s
Descargar

AUDITORIA EN SISTEMAS