Академический Документы
Профессиональный Документы
Культура Документы
Curso: Metodologa del Trabajo Intelectual Profesor: Gerardo Ral Chunga Chinguel Semestre Lectivo: 2014-0
Chiclayo - Per Enero, 2014
DEDICATORIA
A Rinflas ....
AGRADECIMIENTO
A Dios por permitirme llegar hasta aqu. A mis padres por su confianza en cada proyecto emprendido. A Gerardo Chunga por todos los conocimientos compartidos y por su valioso tiempo dedicado a este trabajo de monografa.
RESUMEN
En la actualidad hay un enorme crecimiento tecnolgico, tanto en las TI como en los SI, y por consiguiente las probabilidades de que nuestros sistemas o nuestra informacin puedan ser vulnerados, robadas o manipuladas se acrecienta cada da ms. De todo la informacion que se logro recopilar en esta monografa se podemos mostrarles a la Auditora Informtica como una herramienta indispensable, ya que gracias a una revisin peridica o no tanto los sistemas informticos propiamente dichos (bases de datos, redes internas, servidores), podemos realizar un anlisis de riesgos basndose en normas y herramientas aplicables y legalizadas con el fin de obtener un reporte de los posibles errores o fallas que pueda tener la empresa.
TABLA DE CONTENIDOS
AUDITORA INFORMTICA Y LOS SISTEMAS DE INFORMACIN DEDICATORIA AGRADECIMIENTO RESUMEN TABLA DE CONTENIDOS INTRODUCCIN CAPTULO I: Seguridad Informtica 1.1. Definicin 1.3. Proteccin de Datos CAPTULO II: reas de Auditora Informtica 2.1. Auditora Fsica: 2.2. Auditora Ofimtica 2.3 Auditora de Base de Datos 2.4 Auditora de Redes 2.5 Auditora de Aplicaciones CAPTULO III: Seguridad de Informacin CAPTULO IV: Estndares de la Seguridad de Informacin ISO/IEC 27000-series: COBIT: ITIL: CONCLUSIONES REFERENCIAS BIBLIOGRFICAS
INTRODUCCIN
Hoy en dia los temas relativos a la auditora informtica cobran cada vez ms relevancia, tanto a nivel nacional como internacional, debido a que la informacin se ha convertido en el activo ms importante de las empresas, representando su principal ventaja estratgica, por lo que stas invierten enormes cantidades de dinero y tiempo en la creacin de sistemas de informacin con el fin de obtener la mayor productividad y calidad posibles. El objetivo de esta monografa es dar a conocer al personal de una empresa en todas sus jerarquas la importancia que tiene una Auditoria Informatica dentro de ella, puesto que esto le llevar a conocer sus debilidades y fortalezas y a su vez les brindara una mayor objetividad de la canalizacin de recursos humanos, tecnolgicos y econmicos dentro de ella. Asimismo la empresa obtendr soluciones enfocados a los recursos reales de la empresa mediante la aplicacin de algunas herramientas informticas. Para la obtencin de un resultado satisfactorio a la empresa es que esta Monografa ha sido estructurada en cuatro captulos. El primero se denomina Seguridad Informtica, el segundo hablaremos sobre algunas de las reas de la Auditora Informtica, el tercero Seguridad de Informacin y como captulo final hablaremos sobre algunos Estndares sobre Seguridad de Informacin. El primer captulo hablar sobre la importancia de los sistemas de informacin y su repercusin en el mundo actual. El segundo captulo detalla algunas de las reas de la Auditora Informtica y los Sistemas de Informacin, en el tercer captulo se proporciona un listado de ROA en Per, Sudamrica y el Mundo.; y finalmente
El acceso no autorizado a una red informtica o a los equipos que en ella se encuentran pueden ocasionar en la gran mayora de los casos graves problemas. Uno de las posibles consecuencias de una intrusin es la prdida de datos. Es un hecho frecuente y ocasiona muchos trastornos, sobre todo si no estamos al da de las copias de seguridad. Y aunque estemos al da, no siempre es posible recuperar la totalidad de los datos. Otro de los problemas ms dainos es el robo de informacin sensible y confidencial. La divulgacin de la informacin que posee una empresa sobre sus clientes puede acarrear demandas millonarias contra esta, o un ejemplo ms cercano a usted es el de nuestras contraseas de las cuentas de correo por las que intercambiamos informacin con otros. Con la constante evolucin de las computadoras es fundamental saber qu recursos necesitamos para obtener seguridad en los sistemas de informacin. La informacin se ha convertido en un insumo comercial para las grandes empresas, corporaciones, centros de estudios, gobiernos en red, etc., por lo que la estructura de informacin constituye un reto para las sociedades desarrolladas que compiten entre s por conectar en una red nacional a todas sus entidades estatales y privadas, dependencias de gobierno y hasta el hogar. El eje de desarrollo de estas infraestructuras de informacin por lo general es Internet. A travs de Internet se propicia el intercambio telemtico de informacin entre empresas o entre empresas y consumidores, intercambio que genera relaciones comerciales, conocidas como comercio electrnico, incluyendo la publicidad, la bsqueda de
1
http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridad-informatica.shtml
7 informacin sobre productos o proveedores, la negociacin entre comprador y vendedor sobre las condiciones de la transaccin, as como la atencin al cliente antes y despus de la venta.
Salvaguarda activos
Daos Destruccin Uso no autorizado Robo Oportuna Precisa Confiable Completa Contribucin de la funcin Informtica Utiliza los recursos adecuadamente en el procesamiento de la informacin.
Mantiene la Integridad de los datos Alcanza Metas Organizacionales Consume recursos eficientemente
La informacin en todas sus formas y estados se ha convertido en un activo de altsimo valor que se debe proteger y asegurar para garantizar su integridad, confidencialidad y disponibilidad. Es por ello que cada entidad que emplea sistemas informticos debe implementar programas informticos apropiados que garanticen la seguridad de la informacin almacenada en sus computadoras, pues la misma no slo es dependiente de la integridad de los mecanismos de proteccin basados en el hardware y el software de la propia computadora, sino de la consistencia con que los usuarios hagan uso de estos mecanismos.
8 La seguridad en las comunicaciones se ha convertido en un tema de continua actualidad, por lo que en los ltimos aos ha adquirido un gran auge el estudio de las bases tericas y de las implementaciones prcticas para asegurar la confidencialidad en el intercambio de informacin. brinda la oportunidad de ponerse en contacto con algunos de los mtodos y servicios que tienen por objetivo mantener la seguridad, confidencialidad y autenticidad en la transmisin de mensajes, as como los mtodos desarrollados para romper la intimidad en tales comunicaciones
9 Divisin Elementos de construccin Potencia elctrica Sistemas contra incendios Control de accesos Seguridad de los medios Medidas de proteccin Duplicacin de medios
Durante Ejecutar un plan de contingencia adecuado, el cual realice un anlisis de riesgos de sistemas crticos, establezca un periodo crtico de recuperacin (del desastre), realice un anlisis de aplicaciones crticas, establezca prioridades y objetivos de recuperacin, designe un Centro Alternativo de Procesamiento, y asegure la capacidad de las comunicaciones y de los servicios de back-up. Despus Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las prdidas, gastos o responsabilidades que se pueden derivar para el Centro de Procesamiento de Informacin una vez detectado y corregido el fallo. Entre algunos tipos de seguros estn: Centro de proceso y equipamiento Reconstruccin de medios de software Gastos extra Interrupcin del negocio Documentos y registros valiosos Errores y omisiones Cobertura de fidelidad Transporte de medios Contratos con proveedores y de mantenimiento 2.2. Auditora Ofimtica La Ofimtica se define como los programas o aplicaciones que en conjunto sirven de herramienta para generar, procesar, almacenar, recuperar, comunicar y presentar la informacin en un lugar de trabajo, as como de forma domstica El software de ofimtica comprende una serie de aplicaciones que se distribuyen de forma conjunta para as mismo ser empleadas simultneamente en diversos sistemas. Usualmente estas herramientas de ofimtica incluyen: Aplicaciones de productividad personal Administradores de Bases de Datos Hojas de clculo
Existen dos caractersticas a analizar de los entornos ofimticos: la distribucin de las aplicaciones por los diferentes departamentos de la organizacin en lugar de centralizarse en una nica ubicacin, y el traslado de la responsabilidad sobre ciertos controles de los sistemas de informacin a usuarios finales no dedicados profesionalmente a la informtica, quienes pueden no comprender de un modo adecuado la importancia de stos y la forma de realizarlos. Como consecuencia de esto, se ha generado la siguiente problemtica: adquisiciones poco planeadas, desarrollos ineficaces e ineficientes, falta de conciencia de los usuarios acerca de la seguridad de los sistemas de Informacin, utilizacin de copias ilegales de aplicaciones, procedimientos de copias de seguridad deficientes, escasa formacin del personal, falta de documentacin suficiente, etc. Los controles de auditora bsicos que pueden aplicarse en este entorno son los siguientes: Economa, eficacia y eficiencia 1. Determinar si el inventario ofimtico refleja con exactitud los equipos y aplicaciones existentes en la organizacin 2. Determinar y evaluar el procedimiento de adquisiciones de equipos y aplicaciones 3. Determinar y evaluar la poltica de mantenimiento definida en la organizacin 4. Evaluar la calidad de las aplicaciones del entorno ofimtico desarrollada por el personal de la propia organizacin 5. Evaluar la correccin del procedimiento existente para la realizacin de los cambios de versiones y aplicaciones 6. Determinar si los usuarios cuentan con la suficiente formacin y la documentacin de apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente 7. Determinar si el sistema existente se ajusta a las necesidades reales de la organizacin Seguridad 1. Determinar si existen garantas suficientes para proteger los accesos no autorizados a la informacin reservada de la empresa y la integridad de la misma 2. Determinar si el proceso de generacin de copias de respaldo es fiable y garantiza la recuperacin de informacin en caso de necesidad 3. Determinar si est garantizado el funcionamiento ininterrumpido de aquellas aplicaciones cuya cada podra suponer prdidas de la integridad de la informacin y aplicaciones
1. Estudio previo y plan de trabajo Se debe verificar que: se ha realizado un estudio tecnolgico de viabilidad en el cual se contemplen varias alternativas para alcanzar los objetivos del proyecto, as como anlisis costo-beneficio para cada una de ellas; la alta direccin revisa los estudios y toma la decisin de seguir o no con el proyecto; existe un plan para administrar el proyecto y se sigue; se designa un administrador de la BD. 2. Concepcin de la BD y seleccin del equipo Se debe comprobar que: la metodologa de diseo es aceptable y se utiliza adecuadamente; que existan niveles de seguridad para las diversas clasificaciones de datos; que el equipo se seleccione de acuerdo a un procedimiento riguroso que considere las necesidades de la empresa y los beneficios de los distintos DBMS candidatos, as como el impacto del nuevo SW en el sistema y su seguridad. 3. Diseo y carga Se debe comprobar que: los diseos lgicos y fsicos se realicen correctamente; la definicin de datos incluye asociaciones y restricciones oportunas, especificaciones de almacenamiento y cuestiones relativas a la seguridad; la carga de datos ha sido planificada para evitar prdida de informacin; se realizan pruebas en paralelo y se aplica un control estricto de errores; los datos se validen y corrijan lo ms cerca del punto de origen posible 4. Explotacin y mantenimiento Se debe comprobar que: se establecen procedimientos de explotacin y mantenimiento que aseguran que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas se modifica slo con la autorizacin adecuada; se realiza un proceso de ajuste (tuning) y optimizacin adecuados 5. Revisin post-implantacin Se debe evaluar si: se han conseguido los resultados esperados; se satisfacen las
12 necesidades del usuario; los costos y beneficios coinciden con los previstos Es requisito para la auditora de un DBMS que la causa y efecto de todos los cambios de la BD sean verificables, por lo que se debe verificar que se utilicen las herramientas proporcionadas por el propio DBMS y las polticas y procedimientos que sobre su utilizacin haya definido el administrador.
13 y su trfico; controles especficos en caso de que se utilicen lneas telefnicas con acceso a red de datos para prevenir accesos no autorizados. En el aspecto lgico, es necesario monitorear la red, revisar errores que se producen y tener establecidos procedimientos para detectar y aislar equipos que presenten comportamiento inadecuado. Como objetivos de control, se debe marcar la existencia de: contraseas y otros procedimientos para limitar y detectar cualquier intento no autorizado a la red; facilidades de control de errores para detectar errores de transmisin y establecer las retransmisiones apropiadas; controles para asegurar que las transmisiones van solamente a usuarios autorizados; registro de la actividad de la red para ayudar a reconstruir incidencias y detener accesos no autorizados; tcnicas de cifrado de datos donde existan riesgos de accesos no autorizados a transmisiones confidenciales; pruebas peridicas donde se simulen ataques para descubrir vulnerabilidades, documentando los resultados y corrigiendo las deficiencias encontradas.
14 producidos (registros, documentos, etc) y observacin directa del funcionamiento de un control ante pruebas especficas de su funcionamiento. Pruebas sustantivas o de validacin. Orientadas a detectar la presencia o ausencia de errores o irregularidades en procesos, actividades, transacciones o controles internos integrados en ellos.
15 de un lugar a otros sin inconvenientes, existe la seguridad y custodia de datos, y para explicar esto se hablar de la seguridad de la informacin y la auditoria de sistemas. Segn podemos entender como seguridad un estado de cualquier sistema (informtico o no) que nos indica que ese sistema est libre de peligro, dao o riesgo. Se entiende como peligro o dao todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayora de los expertos el concepto de seguridad en la informtica es utpico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas: Integridad: La informacin slo puede ser modificada por quien est autorizado, esto es que no se realicen modificaciones por personas no autorizadas a los datos, informacin o procesos, que no se realicen modificaciones no autorizadas por personal autorizado a los datos, informacin o procesos y que los datos o informacin sea consistente tanto interna como externamente. Confidencialidad: La informacin slo debe ser legible para los autorizados, esto implica el buscar prevenir el acceso no autorizado ya sea en forma intencional o no intencional de la informacin. Disponibilidad: Debe estar disponible cuando se necesita los datos, la informacin o recursos para el personal adecuado. Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autora. Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en seguridad lgica y seguridad fsica. As mismo es importante tener en cuenta ciertos trminos que aclaran que puede tenerse en cuenta al hablar de seguridad informtica, tales son: Activo: recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. Amenaza: es un evento que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Impacto: medir la consecuencia al materializarse una amenaza. Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organizacin. Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una amenaza sobre un activo. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
16 Desastre o Contingencia: interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de un negocio. Note que riesgo y vulnerabilidad son conceptos diferentes, debido a que la vulnerabilidad est ligada a una amenaza y el riesgo a un impacto. Teniendo en cuenta lo anterior se puede notar que entre los activos ms importantes para una organizacin esta la informacin y por tanto la custodia de la misma, es entonces como la seguridad de la Informacin es el conjunto de metodologas, prcticas y procedimientos que buscan proteger la informacin como activo valioso, con el fin de minimizar las amenazas y riesgos continuos a los que est expuesta, a efectos de asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de inversiones y las oportunidades del negocio. Y en el caso de cada individuo de proteger la identidad y la privacidad
COBIT:
Objetivos de Control para la informacin y Tecnologas relacionadas (COBIT, en ingls: Control Objectives for Information and related Technology) es un conjunto de mejores prcticas para el manejo de informacin creado por la Asociacin para la Auditora y Control de Sistemas de Informacin, (ISACA, en ingls: Information Systems Audit and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT Governance Institute) en 1992. La misin de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del da a da de los gestores de negocios (tambin directivos) y auditores."
17 Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Informacin (o tecnologas de la informacin) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compaas mediante el desarrollo de un modelo de administracin de las tecnologas de la informacin.
ITIL:
La Information Technology Infrastructure Library ("Biblioteca de Infraestructura de Tecnologas de Informacin"), frecuentemente abreviada ITIL, es un marco de trabajo de las mejores prcticas destinadas a facilitar la entrega de servicios de tecnologas de la informacin (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de gua para que abarque toda infraestructura, desarrollo y operaciones de TI.
CONCLUSIONES
A medida que las organizaciones adquieren mayor tamao, y una mayor sensibilidad por el control interno, en la bsqueda de la eficiencia en sus procesos, la necesidad de formalizar la funcin de auditora informtica se hace ms patente. A la hora de formalizar dicha funcin, las organizaciones deben tener muy presentes los objetivos que se plantean con ella, sus necesidades en cuanto a recursos y las diferentes estrategias que se pueden adoptar para ello, sin olvidar la posibilidad de externalizar total o parcialmente la funcin.
18 Una Auditora Informtica no es ms que una auto evaluacin que nos muestra la manera como se esta desarrollando los procesos dentro de nuestra empresa, si los resultados son satisfactorios pues nuestra empresa esta caminando de la mejor manera, pero si los resultados de esta Auditora resultan negativos deberemos tomar las previsiones necesarias para poder dar solucin a las fallas que puedan ocasionar una debilidad dentro de nuestro engranaje empresarial. En la actualidad la tecnologa ya no es exclusivo de las grandes empresas, puesto que hay pequeos negocios bien organizados los cuales tambin hacen uso de recursos tecnolgicos tales como ventas en internet, transferencias bancarias, servicios de help desk, etc, una Auditora Informtica le daria al dueo o empresario un panorama ms claro sobre las fortalezas y por ende tambin alguna vulnerabilidad de su sistema de trabajo.
REFERENCIAS BIBLIOGRFICAS
http://www.monografias.com/trabajos82/la-seguridad-informatica/laseguridad-informatica.shtml http://books.google.es/books?id=gh_jwmkssdYC&printsec=frontcover&hl= es&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false
19