Академический Документы
Профессиональный Документы
Культура Документы
AUDITORIA INFORMTICA
TEMA:
Mtodo y
metodologas
Termino
Significado
Mtodo
Modo ordenado y
sistemtico de
proceder para llegar
a un resultado.
Metodologa
Conjunto de
mtodos que se
siguen en una
disciplina cientfica o
en un estudio que
permite abordarlo
de forma
Relacin de seguridad de SI
con la auditoria
Relacin de seguridad de SI
con la auditoria
HERRAMIENTAS
TECNOLOGIA DE LA SEGURIDAD
PROCEDIMIENTOS DE CONTROL
OBJETIVOS DE CONTROL
METODOLOGIAS
LA ORGANIZACION
NORMATIVIDAD
LA NORMATIVA
Debe
Debe inspirarse en :
Polticas
Marco jurdico
Polticas y normas de la empresa
Experiencia
Prcticas profesionales
LA ORGANIZACION
La
Funciones
Procedimientos
Planes
(seguridad, contingencia,
auditoras, etc.)
LAS METODOLOGIAS
Son
necesarias
para
desarrollar cualquier proyeto
que
nos
propongamos
de
manera ordenada y eficaz.
LOS PROCEDIMIENTOS DE
CONTROL
Son
TECNOLOGIA DE
Dentro
de
la
tecnologa
SEGURIDAD
de
seguridad estn los elementos, ya
sean hardware o software, que
ayudaran a controlar un riesgo
informtico.
(cifradores,
autentificadores,
equipos
tolerantes al fallo etc.)
LAS HERRAMIENTAS DE
CONTROL
Son
elementos
software
que
permiten definir uno o varios
procedimientos de control para
cumplir una normativa y un objeto
de control.
Organizacin interna de la
Seguridad Informtica
Comit de Seguridad de la Informacin
Seguridad corporativa.
Control Interno.
Dpto. de Informtica.
Dpto. de Usuarios.
Direccin del Plan de Seguridad
Control Informtico
Responsable de Ficheros
Controles generales Informticos
Auditora Informtica
Plan Auditor
Dictamenes de Auditoria
METODOLOGIAS DE
EVALUACION DE SISTEMAS
DOS
METODOLOGIAS A EVALUAR:
Auditora Informtica solo
identifica el nivel de exposicin
por falta de controles.
Anlisis de Riesgos facilita la
evaluacin de los riesgos y
recomienda acciones en base al
costo-beneficio de las mismas.
Definiciones para
profundizar en estas
metodologas
Tipos de
metodologa
Cuantitativas basadas en
un
modelo matemtico numrico que
ayuda a la realizacin del trabajo.
Cualitativas basadas en un
criterio y raciocinio humano capaz
de definir un proceso de trabajo,
para seleccionar en base a
experiencia acumulada.
metodologas
ms
comunes de evaluacin de
sistemas
que
podemos
encontrar son de anlisis de
riesgos y de diagnsticos de
seguridad, las de plan de
contingencias,
y
las
de
auditora
de
controles
generales.
PLAN DE CONTINGENCIAS
Una estrategia planificada constituida
por:
Recursos de respaldo
Organizacin de emergencia
Procedimientos de actuacin
FASES DE UN PLAN
Fase 1: Anlisis y diseo
Fase 2: Desarrollo del plan
Fase 3: Pruebas y mantenimiento
LA AUDITORA INFORMTICA
* Tiene la funcin de vigilancia y evaluacin mediante dictmenes y todas las metodologas van
encaminadas a esta funcin.
* Evalan eficiencia, costo y seguridad en su ms amplia visin.
* Operan segn el plan auditor.
* Establecen planes con tiempos definidos y ciclos completos.
CLASIFICACIN DE LA
INFORMACION
ENTIDAD DE INFORMACIN: Objetivo a proteger en el entorno informtico, y
que la clasificacin de la informacin nos ayudar a proteger especializando las
contramedidas segn el nivel de confidencialidad o importancia que tengan.
Entre las entidades de informacin se encuentra la jerarquas que a su vez se
clasifican de la siguiente manera:
-
Altamente Confidencial.
Confidencial
Restringida
METODOLOGA
LOS PASOS DE LA METODOLOGA SON LOS SIGUIENTES:
1.
Identificacin de la informacin.
2.
Inventario de entidades de informacin residentes y operativas ( Programas, Ficheros de
Datos, Estructuras
de Datos, Soportes de Informacin, etc...
3.
Identificacin de Propietarios ( Los que necesitan para su trabajo, usan o custodian la
informacin )
4.
5.
6.
7.
8.
Implantacin y Mantenimiento.
METODOLOGA
METODOLOGA
Fase 1.- Definicin de Objetivos de Control. ( Tres Tareas )
Tarea 1. Anlisis de la Empresa.- Estudio de los procesos, organigramas y funciones
Tarea 2. Recopilacin de Estndares.- Todas las fuentes de informacin necesarias
para conseguir definir los objetivos de control a cumplir.
Tarea 3. Definicin de los Objetivos de Control.
METODOLOGA
Fase II.- Definicin de los Controles
Tarea 1. Definicin de los Controles.- Con los Objetivos de Control Definidos,
analizamos los procesos y vamos definiendo los distintos controles que se necesiten.
Tarea 2. Definicin de Necesidades Tecnolgicas ( HW y Herramientas de control )
Tarea 3. Definicin de los Procedimientos de Control.- Se desarrollan los distintos
procedimientos que se generan en las reas usuarias, informtica, control informtico
y control no informtico.
Tarea 4.- Definicin de las Necesidades de Recursos Humanos
METODOLOGA
Fase III.- Implantacin de los Controles
de
la
Actividad
usuarias
de
la
Control de copias
Control de proyectos.
Control de versiones.
Control de cambios.
ANLISIS DE PLATAFORMAS
Consiste en inventariar las mltiples plataformas actuales y futuras ( Windows ,Unix,
etc...) que mas tarde nos servirn para saber que productos del mercado nos pueden ser
vlidos, tanto los productos actuales como los futuros planes que tengan los fabricantes.
ANLISIS DE APLICACIONES
Se trata de inventariar las necesidades de desarrollar INTERFASES con los distintos
software de seguridad de las aplicaciones y bases de datos. Estos desarrollos deberan
entrar como proyectos a desarrollar en el plan. En este punto conviene ver si el producto /
interfaces soporta el tiempo real, o el proceso batch, o sus posibilidades de registros de
actividad.
SEGURIDAD
ADMINISTRACIN DE LA SEGURIDAD
Tenemos que considerar si los sistemas nos permiten realizar todas las actividades
normales con los criterios de seguridad fsica y lgica requerida por la organizacin.
Definir los perfiles y las comunicaciones con cada rea de la empresa para llevar un
completo control sobre los miembros de la organizacin.
SEGURIDAD
SEGURIDADES:
Aqu se usa lo clsico en cada producto, que cada persona tenga su contrasea
con lmites de longitud para el acceso a dicho producto.
ADQUISICION, INSTALACIN E IMPLANTACION, MANUALES DE
PROCEDIMIENTOS DE CONTROL.
Con todos los pasos anteriores, lo nico que queda por hacer es comprar el
producto, instalarlo e implantar su nuevo esquema de seguridad y desarrollar los
procesos de control.
TIPOS DE CONTROLES
TIPOS DE CONTROLES PARA UNA METODOLOGIA DE AUDITORIA EN UNA
APLICACIN:
Antes que nada se debe programar una revisin y estos son los pasos para elaborarla:
1)
2)
5)
6)
TIPOS DE CONTROLES
CONTROLES DE PREPARACION DE DATOS:
Aqu se revisan los procedimientos escritos para iniciar, autorizar, recoger,
preparar y aprobar los datos de entrada en la forma de un manual de usuario,
as como revisar los documentos fuente.
Comprobar la existencia y seguimiento de calendarios de entrada de datos
y de distribucin de informes.
Revisar los procedimientos de correccin de errores.
TIPOS DE CONTROLES
CONTROLES DE ENTRADA DE DATOS:
TIPOS DE CONTROLES
CONTROLES DE ENTRADA DE DATOS:
CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:
CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:
CONTROLES DE DOCUMENTACION:
CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:
CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:
CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS: