AUDITORIA

y SEGURIDAD
INFORMÁTICA

Informática I
UNLaR
Ciclo 2012
Prof. Marcelo Martínez
 Porqué?
• La vulnerabilidad acarreada por los
computadores
• Impacto de los computadores sobre las
tareas de auditoría
• La adecuación de las normas de auditoría
a un entorno electrónico
Auditar

• Ejercer control sobre una determinada

acción

• Donde auditamos a menudo?

– A nivel personal
– A nivel laboral
– A nivel académico
Control

• Actividad/es o acción/es realizadas por

uno o varios elementos de un sistema,
que tienen como finalidad la prevención,
detección y corrección de errores que
afecten la homeostasis del sistema

I/E C O/S
Proceso
Etimología – AUDITORIUS

• Latín: Auditor, que tiene la virtud de oir

Diccionario – AUDITOR

• Revisor de cuentas colegiado

 Auditoria
• Es el examen de la información por TERCERAS partes,
distintas de quienes la generan y quienes la utilizan
• Se produce con la intención de establecer su suficiencia y
adecuación a las normas.- Es necesario poder medirlas, necesitamos un patrón
• Produce informes como resultado del examen critico
• Su objetivo es: evaluar la eficiencia y eficacia, determinar
cursos de acción alternativos y el logro de los objetivos
propuestos
• MEJORA CONTINUA!!!!
Auditoria según IMC

• Agrega a la definición
anterior.
– La auditoria requiere el
ejercicio de un juicio
profesional, sólido y maduro,
para juzgar los procedimientos
que deben seguirse y estimar
los resultados obtenidos
IMC= Instituto Mexicano de Contabilidad
Pregunta?

• Alberto es contador
• Alberto es responsable

– Ambos son juicios?

 NO
• La primera es una afirmación,
observación de lo que es
verdadero para nosotros. Nos
permiten describir al manera en
que vemos las cosas
• La segunda es un JUICIO, un tipo
especial de DECLARACION. Es
una apreciación, opinión o
interpretación NUESTRA de lo
que observamos.
 Caso de estudio ….
Virginia, tiene 30 años, estudió en Córdoba y es
muy agradable como ser humano.
Actualmente esta casada, tiene 3 hijos y su
capacidad profesional asombra a todos sus
colegas.
Vive en La Rioja y su casa es muy linda.
Hoy nos acompaña en esta clase y esta muy alegre
de compartir con todos nosotros la clase.
Que es un JUICIO?
• Una declaración
• No son verdaderos o falsos. Dejan siempre abierta la posibilidad a
discrepar
• Son validos o inválidos. Su validez depende de la AUTORIDAD
que la comunidad confiera a otros para emitirlos
• El grado de efectividad de los juicios esta directamente
relacionado con la autoridad formal o informal que hemos
conferido a la persona que los hace.

• Temas relacionados:
– Ontología del lenguaje
– Postulados básicos de la OL
Fundamentación de los JUICIOS

• Cada vez que emitimos un juicio

asumimos el compromiso social de
fundarlo, es decir, mostrar las
observaciones pasadas en las que se
asienta nuestro juicio y la inquietud o
interés por el futuro que lo motiva
Auditoria Informática

• Revisión, análisis y evaluación independiente y

objetiva de un entorno informático
– Hardware
– Software
• Base
• Aplicación
– Comunicaciones
– Procedimientos-Gestión de recursos informáticos
Tener en cuenta…

• Los objetivos fijados

• Los planes, programas y presupuestos
• Controles, leyes aplicables, entre otros….
Tipos de Auditoría

• Evaluación del sistema de control interno

• De cumplimiento de políticas, estándares
y procedimientos
• De seguridad: física y lógica
• De operaciones/gestión
• Interna/Externa
Fuentes

• Todo tipo de fuente referido a:

– Hardware
– Software
– Instalaciones
– Procedimientos
Check List
• Revisión del Hardware
– -
– -
• Revisión del Software
– -
– -
• Instalaciones
– -
– -
• Procedimientos
– -
– -
Principios fundamentales de la
auditoria en una computadora
• AUTOMATISMO del computador
– Programa - Algoritmo
– No al comportamiento probabilístico
• DETERMINISMO del algoritmo
– Ante un conjunto de datos de entrada, siempre
se obtengas una misma salida
El Control
• Interno
– Creación de relaciones adecuadas entre las diversas
funciones del negocio y los resultados finales de operación.
• Interno Electrónico
– Comportamiento de los circuitos electrónicos. Ej. Transmisión
de datos
• Interno Informático
– Verifica el cumplimiento de los procedimientos, estándares y
normas fijadas por la dirección de informática, como así
también los requerimientos legales
 La seguridad de los
sistemas de información

La protección de los activos informáticos

Seguridad, algunos conceptos
• Seguridad
– Protección contra perdidas
– Es un sistema seguro, impenetrable?
• Grados de seguridad Vs costo
– Naturaleza de las amenazas – contingencias

• A que apuntan las medidas de seguridad?

– Integridad, confidencialidad, privacidad y continuidad
Integridad

• Completa y correcta
• Datos libres de errores
– Intencionales como no intencionales
• No contradictorios!!!
Confidencialidad

• Proteger la información contra la

divulgación indebida
Privacidad

• Tiene que ver con la persona

• Similar a intimidad
• Información que un individuo no desea tenga
difusión generalizada
• Que sucede cuando el derecho de los individuos
se contraponen con las necesidades de las
organizaciones privadas o publicas?
Continuidad

• Seguir Operando!!!!
Sensitividad

• Atributo que determina que la información

deberá ser protegida
Identificación

• Declaración de ser una persona o

programa
– Numero ID
– T Magnética
– Registro de Voz
– Etc
Autenticar

• Es una prueba de identidad

• Debe ser secreto
• Ejemplos....LAS PASSWORDS
Autorización

• Función del sistema de control

• Es el QUIEN DEBE HACER QUE...
• Debe ser especifica, no general
Contingencia
• Es una amenaza al conjunto de los peligros a los
que están expuestos los recursos informáticos de
una organización
• Recursos:
– Personas
– Datos
– Hardware
– Software
– Instalaciones
– .....
 Categorías de Contingencias
Ambientales
• Ambientales naturales
– Inundación, incendio, filtraciones, alta
temperatura, terremoto, derrumbe explosión,
corte de energía, disturbios, etc
• Ambientales operativas
– Caída o falla del procesador, periféricos,
comunicaciones, software de base/aplicación,
AC, Sistema eléctrico, etc
 Categorías de contingencias
Humanas
• Humanas no intencionales
– Errores y/o omisiones en el ingreso de datos,
errores en backup, falta de documentación
actualizada, en daños accidentales...
• Humanas intencionales
– Fraude, daño intencional, terrorismo, virus,
hurto, robo, etc.
Cuales son los desastres mas comunes que
pueden afectar los sistemas?

• Virus
• Fuego
• Inundaciones
• Cortes de electricidad
• Interferencias eléctricas
• Fallas mecánicas
• Sabotaje
• Empleados descontentos
• Uso indebido de recursos
Vulnerabilidad
• Debilidad que presenta una organización frente a las
contingencias que tienen lugar en el entrono del
procesamiento de datos.
• Falta de protección ante una contingencia
• Se da ante la falta de:
– Software de protección
– Responsables a cargo de la SI
– Planes de seguridad, contingencias
– Inadecuada/o:
• Selección y capacitación
• Diseño de sistemas, programación, operación
• Backups
• Auditorias I/E
Consecuencia
• Daño o perdida potencial ante la ocurrencia de
una contingencia
• Algunas consecuencias inmediatas:
– Imposibilidad de procesar
– Perdida de archivos y registros
– Lectura indebida
• Otras consecuencias mediatas:
– Legales
– Económicas/financieras
– Incidencia en otros sistemas
 Tipos de Medidas de
• seguridad
Preventivas
– Limitan la posibilidad de que se concreten las
contingencias
• Detectivas
– Limitan los efectos de las contingencias
presentadas
• Correctivas
– Orientadas a recuperar la capacidad de
operación normal
Que tipo de controles pueden efectuarse
para aumentar la seguridad?

• Acceso Físico
• Acceso Lógico
Métodos de control de accesos

• Contraseñas
– Características, fuerzas y debilidades
• Otros medios de autenticación
– Impresiones digitales
– RPV
– Medidas de geometría de mas manos
– Iris del ojo
Que es una pista de auditoria?

• Huella o registro generado

automáticamente
• Orientado a un análisis posterior
• Permite reconstruir el procesamiento
• Es un CAMINO HACIA ATRÁS...
Backups y recuperación

• Hardware
• Software
• Algunas preguntas frecuentes
– De que dependen?
– Como se manifiestan?
– Donde se realizan?
– Cada cuanto deben realizarse?
Que es y como contribuye la
criptografía a la SI?
• Ininteligibilidad a usuarios no autorizados
• Métodos de encriptación
– Valiosos para la protección de datos y redes
– Usan algoritmos matemáticos en función de
cadenas validas o passwords
Delitos informáticos
• Delito de computación
– Usa una computadora
• Objeto del delito
• Escena del delito
• Instrumento del delito
• Delito en Internet
– Acceso, uso, modificación y destrucción no autorizados
de Hard/Soft, datos y recursos de redes
– Distribución no autorizada de información
– Copia no autorizada de software
– ....
Perfil del delincuente informático

• En base a estudios, su perfil es

– Joven
• Mayoría de técnicos jóvenes
• Ausencia de responsabilidad profesional
– Mejores y mas brillantes empleados
– Ocupan puestos de confianza
– No se encuentran solos. Cuentan con ayuda
– Aprovecha el abandono de las normas o estándares
– Síndrome de Robin Hood
– Juega con el desafío. Reto intelectual
 Planes principales de un
programa de
administración de la
• seguridad de sistemas
Seguridad
• Contingencias

ES MUY IMPORTANTE EL APOYO DE

LA DIRECCION SUPERIOR, SIN CUYO
RESPALDO EXPLICITO Y CONTINUO
TALES PLANES NO PODRAN SER
CUMPLIDOS CON EXITO
Plan de seguridad - PS

• Conjunto de medidas preventivas, detectivas y

correctivas destinadas a enfrentar los riesgos a
los que están expuestos los activos informáticos
de una organización
• Su objetivo esencial es proteger los activos
informáticos en cuanto a integridad,
confidencialidad, privacidad y continuidad
Plan de contingencias - PC
• Conjunto de procedimientos que luego de producido un
desastre, pueden ser rápidamente ejecutados para
restaurar las operaciones normales con máxima rapidez y
mínimo impacto
• Es un capitulo del plan de seguridad – Medidas correctivas
• Objetivos esenciales
– Minimizar el impacto
– Promover una rápida recuperación de la operatividad
 Matriz de Análisis de
Riesgos
• Como es su estructura?
• Qué información podemos extraer de ella?
Gracias