lunes, 28 de noviembre de 2011

FASES DE LA AUDITORIA INFORMATICA



 las fases de la auditoria informatica son 
Fase I: Conocimientos del Sistema
Fase II: Análisis de transacciones y recursos
Fase III: Análisis de riesgos y amenazas
------------------------------------------
Fase I: Conocimientos del Sistema
1.1. Aspectos Legales y Políticas Internas.
Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación.
1.2.Características del Sistema Operativo.
• Organigrama del área que participa en el sistema
• Manual de funciones de las personas que participan en los procesos del sistema
• Informes de auditoría realizadas anteriormente
1.3.Características de la aplicación de computadora
• Manual técnico de la aplicación del sistema
• Funcionarios (usuarios) autorizados para administrar la aplicación
• Equipos utilizados en la aplicación de computadora
• Seguridad de la aplicación (claves de acceso)
• Procedimientos para generación y almacenamiento de los archivos de la aplicación.
Fase II: Análisis de transacciones y recursos
2.1.Definición de las transacciones.
Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores.
2.2.Análisis de las transacciones
• Establecer el flujo de los documentos
En esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos.
2.3.Análisis de los recursos
• Identificar y codificar los recursos que participan en el sistemas
2.4.Relación entre transacciones y recursos
Fase III: Análisis de riesgos y amenazas
3.1.Identificación de riesgos
• Daños físicos o destrucción de los recursos
• Pérdida por fraude o desfalco
• Extravío de documentos fuente, archivos o informes
• Robo de dispositivos o medios de almacenamiento
• Interrupción de las operaciones del negocio
• Pérdida de integridad de los datos
• Ineficiencia de operaciones
• Errores
3.2.Identificación de las amenazas
• Amenazas sobre los equipos:
• Amenazas sobre documentos fuente
• Amenazas sobre programas de aplicaciones
3.3.Relación entre recursos/amenazas/riesgos
La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.
Fase IV: Análisis de controles
Publicado por en No hay comentarios:

Medidas de Control y Seguridad


Los niveles de seguridad son los siguientes: 

1. Nivel Básico 
2. Nivel Medio 
3. Nivel Alto 

Medidas de Seguridad de nivel básico: 

o Sistema de Registro de incidencias. 
o Relación actualizada usuarios/recursos autorizados. 
o Existencia de mecanismos de identificación y autenticación de los accesos autorizados. 
o Restricción solo a los datos necesarios para cumplir cada función. 
o Gestión de soportes informáticos con datos de carácter personal. 
• Inventariados. 
• Con acceso restringido. 
o Copias de seguridad semanalmente. 

Medidas de seguridad de nivel medio, además de lo estipulado para el nivel bajo: 

o Designación de uno o varios responsables de seguridad. 
o Auditoría al menos una vez cada dos años. 
o Mecanismos para identificación inequívoca y personalizada de los usuarios. 
o Limitación de los intentos de acceso no autorizados. 
o Medidas de control de acceso físico a los locales. 
o Establecimiento de un registro de entradas y salidas de soportes informáticos. 
o Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual. 
o Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero. 

Medidas de seguridad de nivel alto, además de lo indicado para el nivel medio: 

o Los soportes para distribución deberán tener la información cifrada. 
o Registro de accesos autorizados y denegados. 
o Guardar estos registros durante 2 años. 
o Copias de seguridad guardadas en sitios diferentes. 
o Transmisiones cifradas. 

Otras medidas de seguridad exigibles a todos los ficheros: 

o Los accesos por red están sujetos a las mismas medidas de seguridad exigibles del nivel de seguridad en modo local. 
o El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero. 
o Los ficheros temporales se borrarán una vez usados, también se les aplicará el nivel de seguridad pertinente. 
o El responsable del fichero elaborará el documento de seguridad. 
o Las pruebas con datos reales seguirán las medidas de seguridad pertinentes
Publicado por en No hay comentarios:

Medidas de Proteccion

Entre las mas importantes tenemos:
Análisis de vulnerabilidades
Para la verificación de posibles problemas de seguridad en ordenadores, sistemas y aplicaciones, lo ideal es utilizar un analizador de vulnerabilidades. Existen algunos que son excelentes y que ofrecen informes finales que no sólo detallan los posibles agujeros de seguridad detectados, sino que aconsejan las soluciones a adoptar. En el mundo Linux, Nessus es un excelente software de código abierto. Sin embargo, si se prefiere una solución comercial que cuente con el soporte técnico de un fabricante y una serie de consultorías especializadas, Shadow Security Scanner constituye una elección idónea, tanto por sus prestaciones como por su precio contenido.
Cortafuegos
Una vez obtenido el informe y parcheados los posibles agujeros de seguridad, debe acometerse la implementación de algún cortafuegos e IDS. Aquí el abanico de elección es amplio. En el espectro de firewalls de nivel 1, tanto en software como en hardware, encontramos a Checkpoint y a Cisco. Sin embargo, sus precios pueden resultar inasumibles para las pymes y pequeños despachos, con lo que éstas suelen dirigirse a aplicaciones como McAfee Firewall, Noton Internet Security y, en algunos casos, Zone Alarm.
Copias de seguridad
La elaboración de políticas de seguridad es algo sencillo. Consiste en saber cómo actuar en un plan de contingencia, redactando un documento para ello. Por ejemplo, qué hacer en caso de pérdidas de datos, dónde se localizan las copias de seguridad, y cuáles son las contraseñas para acceder a cada uno de los ordenadores de una red. Este Manual de Calidad debe estar redactado en su totalidad y puesto a salvo en un archivador bajo llave. Así, en caso de necesidad, el manual es consultado en aquello que se precisa, y la rapidez de actuación conlleva a la restauración inmediata ante un desastre.
Dicho esto, sobra decir que es necesario establecer una política de copias de seguridad. Aquí es donde el abanico de aplicaciones es inmenso. Acronis True Image es una solución que genera imágenes de disco completas e incrementales, y que permite la programación de tareas. El acceso a un menú restaura una imagen previa, sin arrancar el sistema operativo, dejándolo todo tal y como estaba.
El testeo de modems y la seguridad inalámbrica deberían dejarse en manos de unos auditores de seguridad informática o para el administrador de sistemas.
Antivirus
En la parte final de la pirámide se encuentran los antivirus. Existen tantos que uno nunca saber por cuál decantarse. Lo ideal es que el antivirus se encuentre centralizado y, si es posible, integrado con el propio protocolo que cubre. Por ejemplo, puede utilizarse un antivirus de servidor y, además, uno integrado con el propio servidor de correo, ya que constituye la principal vía de contagio.
La oferta es variada. Todo el mundo conoce un antivirus u otro, gracias a su divulgación a través de revistas especializadas. Sin embargo, Avast!, es un antivirus nada conocido en el mercado español, pero que opera en versiones servidor para Windows y Linux, estaciones de trabajo y PDA. Por descontado, también está en español. Como punto negativo, no dispone de distribuidor en España.
Publicado por en No hay comentarios:

TIPOS DE AUDITORIA INFORMATICA


liiney ii jagv Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
  • Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.
  • Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
  • Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
  • Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
  • Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
  • Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
  • Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
  • Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
  • Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.
Publicado por en No hay comentarios:

Medidas de Contigencia

Medidas de Contingencia Mecanismos utilizados para contrarrestar la pérdida o daños de la información, bien sea intencionales o accidentales. La más utilizada es la Copia de Seguridad (Backup), en la cual se respalda la informa-ción generada en la empresa . Informática II. Decanato de Administración y Contaduría.



Copias de Seguridad Las copias pueden ser totales o parciales y la fre-cuencia varía dependiendo de la importancia de la información que se genere. Backup Se recomienda tener como mínimo dos (2) respaldos de la información, uno dentro de la empresa y otro fuera de ésta (preferiblemente en un Banco en Caja Fuerte). Informática II. Decanato de Administración y Contaduría.
Publicado por en No hay comentarios:

Objetivos

Las principales razones que han obligado a la automatización del tratamiento de las informaciones, que son a la postre los objetivos perseguidos por la informática:
-La primera, es el tener que realizar funciones que el hombre por sí solo no puede cubrir, como serían las comunicaciones a largas distancias, el radar, el sonar, etc.
-A veces es necesario realizar funciones que el hombre puede aboradar por sí mismo, pero llevarían un tiempo muy largo incluso si son ejecutadas por muchos individuos juntos, de tal modo que se conseguiria la operatividad y el fin perseguido. Podría ser el caso de unos cálculos muy complejos, necesarios en el seguimiento y control de naves espaciales.
-La necesidad de obtener una seguridad en algunas tareas, sobre todo en aquellas de tipo reiterativo, en las que el hombre comete errores con alguna frecuencia, los cuales estánpaliados por la perfección de las máquinas.

-La sustitución de mano de obra para tareas monótonas que no desarrollan las facultades nobles del hombre. Mediante la automatización se pueden abandonar dichas tareas, pudiendo entonces

Otros objetivos de la auditoría Informática son:
 -El control de la función informática
 -El análisis de la eficiencia de los Sistemas Informáticos
 -La verificación del cumplimiento de la Normativa en este ámbito
 -La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:
 Desempeño
 Fiabilidad
 Eficacia
 Rentabilidad
 Seguridad
 Privacidad
Publicado por en No hay comentarios:

Definición

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.


Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costes.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)