Вы находитесь на странице: 1из 48

AUDITORIA

y SEGURIDAD
INFORMTICA
Porqu?
La vulnerabilidad acarreada
por los computadores
Impacto de los computadores
sobre las tareas de auditora
La adecuacin de las normas
de auditora a un entorno
electrnico
Auditar
Ejercer control sobre una
determinada accin

Donde auditamos a menudo?
A nivel personal
A nivel laboral
A nivel acadmico
Control
Actividad/es o accin/es
realizadas por uno o varios
elementos de un sistema, que
tienen como finalidad la
prevencin, deteccin y
correccin de errores que
afecten la homeostasis del
sistema

I/E
Proceso
C
O/S
Etimologa AUDITORIUS
Latn: Auditor, que tiene la
virtud de oir
Diccionario AUDITOR
Revisor de cuentas colegiado
Auditoria
Es el examen de la informacin por
TERCERAS partes, distintas de quienes la
generan y quienes la utilizan
Se produce con la intencin de establecer su
suficiencia y adecuacin a las normas.- Es
necesario poder medirlas, necesitamos un patrn
Produce informes como resultado del
examen critico
Su objetivo es: evaluar la eficiencia y
eficacia, determinar cursos de accin
alternativos y el logro de los objetivos
propuestos
MEJORA CONTINUA!!!!
Pregunta?
Alberto es contador
Alberto es responsable

Ambos son juicios?
NO
La primera es una afirmacin,
observacin de lo que es
verdadero para nosotros. Nos
permiten describir al manera en
que vemos las cosas
La segunda es un JUICIO, un tipo
especial de DECLARACION. Es
una apreciacin, opinin o
interpretacin NUESTRA de lo
que observamos.
Caso de estudio .
Virginia, tiene 30 aos, estudi en
Crdoba y es muy agradable como
ser humano.
Actualmente esta casada, tiene 3 hijos
y su capacidad profesional asombra
a todos sus colegas.
Vive en La Rioja y su casa es muy
linda.
Hoy nos acompaa en esta clase y esta
muy alegre de compartir con todos
nosotros la clase.
Que es un JUICIO?
Una declaracin
No son verdaderos o falsos. Dejan siempre
abierta la posibilidad a discrepar
Son validos o invlidos. Su validez depende de
la AUTORIDAD que la comunidad confiera a
otros para emitirlos
El grado de efectividad de los juicios esta
directamente relacionado con la autoridad
formal o informal que hemos conferido a la
persona que los hace.



Temas relacionados:
Ontologa del lenguaje
Postulados bsicos
Fundamentacin de los JUICIOS
Cada vez que emitimos un
juicio asumimos el
compromiso social de
fundarlo, es decir, mostrar las
observaciones pasadas en las
que se asienta nuestro juicio y
la inquietud o inters por el
futuro que lo motiva
Auditoria Informtica
Revisin, anlisis y evaluacin
independiente y objetiva de un
entorno informtico
Hardware
Software
Base
Aplicacin
Comunicaciones
Procedimientos-Gestin de recursos
informticos
Tener en cuenta
Los objetivos fijados
Los planes, programas y
presupuestos
Controles, leyes aplicables,
entre otros.
Tipos de Auditora
Evaluacin del sistema de
control interno
De cumplimiento de polticas,
estndares y procedimientos
De seguridad: fsica y lgica
De operaciones/gestin
Interna/Externa
Fuentes
Todo tipo de fuente referido a:
Hardware
Software
Instalaciones
Procedimientos
Check List
Revisin del Hardware
-
-
Revisin del Software
-
-
Instalaciones
-
-
Procedimientos
-
-
Principios fundamentales de la
auditoria en una computadora
AUTOMATISMO del
computador
Programa - Algoritmo
No al comportamiento
probabilstico
DETERMINISMO del
algoritmo
Ante un conjunto de datos de
entrada, siempre se obtengas una
misma salida
El Control
Interno
Creacin de relaciones adecuadas entre las
diversas funciones del negocio y los
resultados finales de operacin.
Interno Electrnico
Comportamiento de los circuitos
electrnicos. Ej. Transmisin de datos
Interno Informtico
Verifica el cumplimiento de los
procedimientos, estndares y normas fijadas
por la direccin de informtica, como as
tambin los requerimientos legales

La seguridad de los
sistemas de informacin
La proteccin de los activos informticos
Seguridad, algunos
conceptos
Seguridad
Proteccin contra perdidas
Es un sistema seguro, impenetrable?
Grados de seguridad Vs costo
Naturaleza de las amenazas
contingencias

A que apuntan las medidas de
seguridad?
Integridad, confidencialidad, privacidad
y continuidad
Integridad
Completa y correcta
Datos libres de errores
Intencionales como no
intencionales
No contradictorios!!!
Confidencialidad
Proteger la informacin contra
la divulgacin indebida
Privacidad
Tiene que ver con la persona
Similar a intimidad
Informacin que un individuo no
desea tenga difusin generalizada
Que sucede cuando el derecho de
los individuos se contraponen con
las necesidades de las
organizaciones privadas o publicas?
Continuidad
Seguir Operando!!!!
Sensitividad
Atributo que determina que la
informacin deber ser
protegida
Identificacin
Declaracin de ser una persona
o programa
Numero ID
T Magntica
Registro de Voz
Etc
Autenticar
Es una prueba de identidad
Debe ser secreto
Ejemplos....LAS PASSWORDS
Autorizacin
Funcin del sistema de control
Es el QUIEN DEBE HACER
QUE...
Debe ser especifica, no general
Contingencia
Es una amenaza al conjunto de los
peligros a los que estn expuestos
los recursos informticos de una
organizacin
Recursos:
Personas
Datos
Hardware
Software
Instalaciones
.....
Categoras de Contingencias
Ambientales
Ambientales naturales
Inundacin, incendio,
filtraciones, alta temperatura,
terremoto, derrumbe explosin,
corte de energa, disturbios, etc
Ambientales operativas
Cada o falla del procesador,
perifricos, comunicaciones,
software de base/aplicacin, AC,
Sistema elctrico, etc
Categoras de contingencias
Humanas
Humanas no intencionales
Errores y/o omisiones en el
ingreso de datos, errores en
backup, falta de documentacin
actualizada, en daos
accidentales...
Humanas intencionales
Fraude, dao intencional,
terrorismo, virus, hurto, robo,
etc.
Cuales son los desastres mas comunes
que pueden afectar los sistemas?
Virus
Fuego
Inundaciones
Cortes de electricidad
Interferencias elctricas
Fallas mecnicas
Sabotaje
Empleados descontentos
Uso indebido de recursos
Vulnerabilidad
Debilidad que presenta una organizacin
frente a las contingencias que tienen lugar
en el entrono del procesamiento de datos.
Falta de proteccin ante una contingencia
Se da ante la falta de:
Software de proteccin
Responsables a cargo de la SI
Planes de seguridad, contingencias
Inadecuada/o:
Seleccin y capacitacin
Diseo de sistemas, programacin, operacin
Backups
Auditorias I/E
Consecuencia
Dao o perdida potencial ante la
ocurrencia de una contingencia
Algunas consecuencias inmediatas:
Imposibilidad de procesar
Perdida de archivos y registros
Lectura indebida
Otras consecuencias mediatas:
Legales
Econmicas/financieras
Incidencia en otros sistemas
Tipos de Medidas de seguridad
Preventivas
Limitan la posibilidad de que se
concreten las contingencias
Detectivas
Limitan los efectos de las
contingencias presentadas
Correctivas
Orientadas a recuperar la
capacidad de operacin normal
Que tipo de controles pueden
efectuarse para aumentar la
seguridad?
Acceso Fsico
Acceso Lgico
Mtodos de control de accesos
Contraseas
Caractersticas, fuerzas y
debilidades
Otros medios de autenticacin
Impresiones digitales
RPV
Medidas de geometra de mas
manos
Iris del ojo
Que es una pista de
auditoria?
Huella o registro generado
automticamente
Orientado a un anlisis
posterior
Permite reconstruir el
procesamiento
Es un CAMINO HACIA
ATRS...
Backups y recuperacin
Hardware
Software
Algunas preguntas frecuentes
De que dependen?
Como se manifiestan?
Donde se realizan?
Cada cuanto deben realizarse?
Que es y como contribuye la
criptografa a la SI?
Ininteligibilidad a usuarios no
autorizados
Mtodos de encriptacin
Valiosos para la proteccin de
datos y redes
Usan algoritmos matemticos en
funcin de cadenas validas o
passwords
Delitos informticos
Delito de computacin
Usa una computadora
Objeto del delito
Escena del delito
Instrumento del delito
Delito en Internet
Acceso, uso, modificacin y destruccin
no autorizados de Hard/Soft, datos y
recursos de redes
Distribucin no autorizada de
informacin
Copia no autorizada de software
....
Perfil del delincuente
informtico
En base a estudios, su perfil es
Joven
Mayora de tcnicos jvenes
Ausencia de responsabilidad profesional
Mejores y mas brillantes empleados
Ocupan puestos de confianza
No se encuentran solos. Cuentan con
ayuda
Aprovecha el abandono de las normas o
estndares
Sndrome de Robin Hood
Juega con el desafo. Reto intelectual
Planes principales de un
programa de administracin
de la seguridad de sistemas
Seguridad
Contingencias
ES MUY IMPORTANTE EL APOYO DE
LA DIRECCION SUPERIOR, SIN CUYO
RESPALDO EXPLICITO Y CONTINUO
TALES PLANES NO PODRAN SER
CUMPLIDOS CON EXITO
Plan de seguridad - PS
Conjunto de medidas preventivas,
detectivas y correctivas destinadas a
enfrentar los riesgos a los que estn
expuestos los activos informticos
de una organizacin
Su objetivo esencial es proteger los
activos informticos en cuanto a
integridad, confidencialidad,
privacidad y continuidad
Plan de contingencias - PC
Conjunto de procedimientos que luego de
producido un desastre, pueden ser
rpidamente ejecutados para restaurar las
operaciones normales con mxima rapidez
y mnimo impacto
Es un capitulo del plan de seguridad
Medidas correctivas
Objetivos esenciales
Minimizar el impacto
Promover una rpida recuperacin de la
operatividad
Matriz de Anlisis de Riesgos
Como es su estructura?
Qu informacin podemos
extraer de ella?

Gracias

Вам также может понравиться