Академический Документы
Профессиональный Документы
Культура Документы
Auditoría Informática
Examen que se realiza con carácter objetivo, crítico, sistemático y
selectivo con el fin de evaluar la eficacia y eficiencia del uso
adecuado de los recursos informáticos, de la gestión informática y si
estas han brindado el soporte adecuado a los objetivos y metas del
negocio.
Conceptos básicos de Auditoría
Auditoría Informática
• La Auditoria de Tecnología de Información (T.I.) (Auditoria
informática o Auditoria de sistemas), se ha consolidado en el
mundo entero como cuerpo de conocimientos cierto y consistente,
respondiendo a la acelerada evolución de la tecnología
informática de los últimos 10 años.
Auditoría de Seguridad
Sistemas Informáticos han de protegerse de modo global y particular.
Auditoría de Desarrollo
Revisión del proceso completo de desarrollo de proyectos por parte de
la empresa auditada.
Auditoría de Sistemas
Se ocupa de analizar la actividad que se conoce como Técnica de
Sistemas en todas sus facetas
• Sistemas Operativos
• Software Básico
• Administración de Bases de Datos
Conceptos básicos de Auditoría
Ejecución de la Auditoría
3. Necesidad de Confidencialidad
Una auditoria eficiente y efectiva requiere que el cliente ponga en el
auditor la confianza necesaria para ser sumamente franco al
proporcionar información
Conceptos básicos de Auditoría
Norma Ética del Auditor Informático
4. Confidencialidad y Privilegio
El auditor no debe revelar la información contenida en la comunicación sin
el permiso del cliente. La información es privilegiada si el cliente puede
impedir que un tribunal o dependencia del gobierno tenga acceso a ella
mediante un citatorio u orden de comparecencia
5. Información Confidencial
Los auditores y su personal tienen iguales responsabilidades que la
administración en cuanto al manejo de la información confidencial
Conceptos básicos de Auditoría
Norma Ética del Auditor Informático
6. Conflicto de Intereses
El temor de algunos clientes de que sus secretos les sean
comunicados a los competidores es tan grande que se niegan a
contratar auditores
7. Responsabilidad ante los clientes
El auditor tiene una relación contractual con su cliente. El
profesional es responsable ante su cliente por negligencia en grado
simple y, en consecuencia, también lo será por negligencia en grado
grave o por fraude
Conceptos básicos sobre Control Interno
Definiciones de Control
Control Interno para Auditoría
Tratar de evitar el
Control Interno para Auditoría
Vuelta a la
normalidad cuando Detectivo Correctivo
se han producido
incidencias
Control Interno Informático
Implantación de un Control Interno Informático
Gestión de sistema de información: políticas, pautas y normas técnicas que
Control Interno para Auditoría
– Consiste en:
– Ilustrada por un modelo que divide TI en 34 procesos alineados con las áreas
de responsabilidad de planificación, desarrollo, operación y monitoreo,
proveyendo una visión de principio a fin (end-to-end) de TI.
COBIT
Necesidad de un Marco de Referencia de Control para el Gobierno de TI
– Por qué?
› Cada vez más la alta dirección percibe el impacto significativo que la información
puede tener en el destino de la empresa.
Integridad
Disponibilidad
https://www.youtube.com/watch?v=I4FCl4RZpqY
Seguridad de la Información
Políticas y Procedimientos
Protocolo AAA
Protocolo AAA
Autenticación
Proceso por el que una entidad prueba su identidad. Primera
entidad es un cliente y la segunda un servidor.
Ejemplos posibles de estos: Contraseñas
Autorización
Concesión de privilegios específicos.
La mayor parte de las veces el privilegio concedido consiste en el
uso de un determinado tipo de servicio
Protocolo AAA
Auditoría
Consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información mantiene la integridad de
los datos
Amenazas en Seguridad Informática
Delitos Informáticos
Terrorismo
Spam Fraude Hostigamiento virtual
/ Acoso
Contenido
obsceno u
ofensivo
Crímenes Informáticos
de Desastres
de Desastres
El objetivo de la Continuidad del Negocio/ Recuperación ante Desastres es permitir
que un negocio continúe brindando sus servicios críticos en caso de una interrupción
y que pueda sobrevivir a una interrupción desastrosa de sus sistemas de información.
Lo primero que hay que hacer para desarrollar un BCP es identificar los procesos de
negocio de importancia estratégica.
de Desastres
de Desastres
Objetivos
• Determinar la vulnerabilidad a las interrupciones del servicio importantes en el
centro de datos e instalaciones de negocios y definir las medidas preventivas.
de Desastres
Para minimizar el tiempo de inactividad y la pérdida de datos hay que
tener en cuenta los siguientes conceptos:
• Objetivo de Tiempo de Recuperación (RTO, Recovery Time
Objective) es el tiempo en el que el proceso de negocio debe estar
restaurado después de un incidente grave
• Objetivo de Punto de Recuperación (RPO, Recovery Point
Objective) es la edad de los archivos que se deben recuperar de
almacenamiento de copia de seguridad para las operaciones tras un
incidente grave
Plan de Continuidad del Negocio y Recuperación de
Desastres
Plan de Continuidad del Negocio y Recuperación
de Desastres
https://www.youtube.com/watch?v=CW4C_iVZr_4
Documentación de las Auditorías de Sistemas
Informáticos
Checklist