domingo, 2 de mayo de 2010

AUDITORIA DE SISTEMAS


La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. También permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es critica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.

Los objetivos de la auditoría Informática son:


  • El control de la función informática
  • El análisis de la eficiencia de los Sistemas Informáticos
  • La verificación del cumplimiento de la Normativa en este ámbito
    La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

  • Efciencia
  • Eficacia
  • Rentabilidad
  • Seguridad
Publicado por en No hay comentarios:

WEBGRAFIA

http://es.wikipedia.org/wiki/Seguridad_informática

http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml

http://www.mitecnologico.com/Main/MetodosTecnicasYHerramientasDeAuditoria
http://www.cuentame.inegi.gob.mx/museo/cerquita/redes/seguridad/intro.htm
http://www.monografias.com/trabajos7/adre/adre.shtml
http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica
Publicado por en No hay comentarios:

OTROS SITIOS WEB

http://auditoriadesistemasleon.blogspot.com/2010/04/controles-y-auditoria-de-sistemas.html

http://ccaceresjaimes.blogspot.com/2010/04/medidas-de-seguridad.html

http://auditoriainformaticapaez.blogspot.com/2010/04/ejemplo-de-medidas-de-seguridad.html

http://auditoriadesistemasleon.blogspot.com/2010/04/que-es-la-auditoria-de-la-seguridad-de.html

http://auditoriadesistemasleon.blogspot.com/2010/04/ejemplos-de-medidas-de-seguridad-que.html
Publicado por en No hay comentarios:

DEFENSAS DE SEGURIDAD







TIPOS DE DEFENSAS DE SEGURIDAD

Cifrado o Encriptación Implica el uso de algoritmos matemáticos especiales, o llaves, para transformar los datos digitales en códigos cifrados antes de ser transmitidos y para descifrarlos cuando son recibidos. El método mas usado es el llamado, método de llave publica, que es exclusivamente para el receptor que es conocida por el transmisor.


*Firewalls Puede ser un procesador de comunicaciones, por lo común un ruteador, o un servidor dedicado, junto con software firewall. Sirve como un sistema de portero que protege las intranets de una empresa y otras redes informáticas de la intrusión al proporcionar un filtro y punto de transferencia seguro para el acceso a Internet y otras redes.


*Defensas contra la negación de servicios
Los ataques de negación de servicios a través de Internet dependen de 3 niveles de sistemas interconectados:

1) En el sitio Web de la victima

2) En el proveedor de servicios de Internet
3) En las maquins zombis

*Defensa contra virus: Un virus informático es un programa de computadora que tiene la capacidad de causar daño y su característica más relevante es que puede replicarse a sí mismo y propagarse a otras computadoras. Infecta "entidades ejecutables": cualquier archivo o sector de las unidades de almacenamiento que contenga códigos de instrucción que el procesador valla a ejecutar. Se programa en lenguaje ensamblador y por lo tanto, requiere algunos conocimientos del funcionamiento interno de la computadora.




� CORTAFUEGOS Es un equipo de hardware o software utilizado en las redes de ordenadores para prevenir algunos tipos de comunicaciones prohibidos por la política de red.

� ADMINISTRACION DE CUENTAS DE USUARIOS: En el contexto de la informática, un usuario es aquel que utiliza un sistema informático. Para que los usuarios puedan obtener seguridad, acceso al sistema, administración de recursos, etc, dichos usuarios deberán identificarse. Para que uno pueda identificarse, el usuario necesita una cuenta (una cuenta de usuario) y un usuario, en la mayoría de los casos asociados a una contraseña. Los usuarios utilizan una interfaz de usuario para acceder a los sistemas, el proceso de identificación es conocido como identificación de usuario o acceso del usuario al sistema (del ingls: "log in").

� DETECCION Y PREVENCION DE INTRUSOS El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red pa
ra detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.

� CAPAS DE SOCKET SEGURA (SSL): Secure Sockets Layer -Protocolo de Capa de Conexión Segura- (SSL) y Transport Layer Security -Seguridad de la Capa de Transporte- (TLS), su sucesor, son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comunmente Internet. Recuperación de datos: En almacenamiento de datos, la recuperación de datos hace referencia a las técnicas empleadas para recuperar archivos que han sido perdidos o eliminados de algún medio de almacenamiento.Hay dos formas básicas de perder información de un medio: pérdida física de datos o pérdida lógica de datos.La pérdida física de datos, que es la más complicada, implica un problema real sobre la superficie donde están almacenados los datos. Por ejemplo, un rayón en un CD. En general, la información que se altera físicamente es más difícil (sino imposible) de recuperar.La pérdida lógica de datos es la eliminación de archivos utilizando la opción de "borrar archivo" de cualquier sistema operativo (también puede pasar por un virus).

� TECNOLOGíAS DE MONITOREO: El término monitoreo de red describe el uso de un sistema que constantemente monitorea una red de computadoras para detectar sistemas lentos o en mal funcionamiento y que notifica al administrador de la red en caso de falla vía correo electrónico, beeper u otras alarmas.
Publicado por en No hay comentarios:

HERRAMIENTAS ADMINISTRACION DE LA SEGURIDAD

Síntomas de Necesidad de una Auditoría Informática

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

· Síntomas de descoordinacion y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante]

· Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

· Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costes.
- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

· Síntomas de Inseguridad: Evaluación de nivel de riesgos
- Seguridad Lógica
- Seguridad Física
- Confidencialidad
[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]
- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.
- Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
EJEMPLO

la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.
Publicado por en 1 comentario:

CONCEPTO DE SEGURIDAD INFORMATICA


Introducción


Podemos entender como seguridad un estado de cualquier tipo de información o la (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro características:


* Integridad: La información sólo puede ser modificada por quien está autorizado y
manera
controlada.


* Confidencialidad: La información sólo debe ser legible para los autorizados.


* Disponibilidad: Debe estar disponible cuando se necesita.


* Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes: seguridad física, seguridad ambiental y seguridad lógica.

En estos momentos la seguridad informática es un tema de dominio obligado por cualquier usuario de Internet, para no permitir que su información sea comprometida.

En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.
En este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de las redes empresariales.

TÉRMINOS RELACIONADOS CON LA SEGURIDAD INFORMÁTICA

Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.


Amenaza: es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.


Impacto: medir la consecuencia al materializarse una amenaza.


Riesgo: Es la probabilidad de que suceda la amenaza o evento no deseado


Vulnerabilidad: Son aspectos que influyen negativamente en un activo y que posibilita la materialización de una amenaza.

Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.
Publicado por en 1 comentario:

domingo, 11 de abril de 2010

CONTROL DEL SISTEMA DE INFORMACIÓN

CONCEPTO
El sistema de información debe ser controlado con el objetivo de garantizar su correcto funcionamiento y asegurar el control del proceso de los diversos tipos de transacciones.

La calidad del proceso de toma de decisiones en un organismo descansa fuertemente en sus sistemas de información. Un sistema de información abarca información cuantitativa, tal como los informes de desempeño que utilizan indicadores, y cualitativa, tal como la atinente a opiniones y comentarios.
El sistema deberá contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas.

El sistema de información debe ser flexible y susceptible de modificaciones rápidas que permitan hacer frente a necesidades cambiantes de la Dirección en un entorno dinámico de operaciones y presentación de informes. El sistema ayuda a controlar todas las actividades del organismo, a registrar y supervisar transacciones y eventos a medida que ocurren, y a mantener datos financieros.
Las actividades de control de los sistemas de aplicación están diseñadas para controlar el procesamiento de las transacciones dentro de los programas de aplicación e incluyen los procedimientos manuales asociados.

CONTROLES
• Para minimizar los errores, desastres, delitos por computadoras y fallas de seguridad, es necesario incorporar políticas y procedimientos especiales en el diseño, implementación e implantación de los Sistemas de Información.
• Los controles consisten en todos los métodos, políticas y procedimientos para asegurar la protección de los activos de la institución, la precisión y la confiabilidad de sus registros. El control debe ser parte integral del diseño.
• Los controles pueden ser de dos tipos:
–Generales.
–De aplicaciones.

CONTROLES GENERALES
Son aplicables a todos los sistemas de la organización y consisten en una combinación de software y procedimientos.

• DE IMPLANTACION. Son puntos formales de revisión de las diferentes etapas del desarrollo del Software.

• DEL SOFTWARE. Evitan el acceso al Software. Están diseñados para evitar cambios no autorizados de los programas y de los datos.

• DE HARDWARE. Deben asegurarse físicamente de forma tal que sólo tengan acceso a ellos las personas autorizadas. También contemplan aquellas aplicaciones que verifican posibles fallas de Hardware.

• DE OPERACIONES DE CÓMPUTO. También conocidas como auditorías. Aseguran que los procedimientos programados sean consistentes y estén siendo aplicados correctamente en su procesamiento y almacenamiento.

• EN LOS DATOS. Que los datos que están en cintas o discos no estén al alcance de personas no autorizadas.

• ADMINISTRATIVOS. Son normas, reglas, procedimientos y disciplinas formales para garantizar que los controles de la institución se ejecuten.

CONTROLES DE APLICACIONES

Son específicos para cada aplicación de computador (p.e., nómina, cuentas por cobrar). Consisten en controles aplicados a los tipos de usuarios particulares de un sistema y a la programación de los procedimientos.

• DE ENTRADAS. Procedimientos para chequear la exactitud y completitud de los datos cuando son introducidos en el sistema.

• DE PROCESAMIENTO. Rutinas para garantizar que los datos se mantienen completos y exactos durante una actualización.

• DE SALIDAS. Medidas que aseguren que los resultados de los procesamientos hechos por el computador sean exactos, completos y distribuidos apropiadamente.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)