“Auditoria Informática”
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva eficazmente los datos de la organización, utiliza eficientemente los recursos y cumple regulaciones establecidas.
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva eficazmente los datos de la organización, utiliza eficientemente los recursos y cumple regulaciones establecidas.
Auditar consiste en estudiar los mecanismos de control que están en alguna organización determinando si son adecuados y cumplen los objetivos y estrategias propuestas. Los mecanismos de control pueden ser; preventivos, directivos, de detección, correctivos o de recuperación ante una incontinencia.
Objetivos:
v Control de la función informática
v Análisis de la eficiencia de los sistemas informáticos
v Verificación del cumplimiento de la normativa
v Revisión de la eficaz gestión de los recursos informáticos
Sirve para mejorar características en la empresa como:
v Eficiencia
v Eficacia
v Rentabilidad
v Seguridad.
Se puede desarrollar en las siguientes áreas:
v Gobierno corporativo
v Administración del ciclo de vida de los sistemas
v Servicios de entrega y soporte
v Protección y seguridad
v Planes de continuidad
v Recuperación de desastres
Tipos de auditoria informática:
v Auditoria de gestión
v Auditoria legal de reglamento de protección de datos
v Auditoria de los datos
v Auditoria de las bases de datos
v Auditoria de la seguridad
v Auditoria de la seguridad fiscal
v Auditoria de la seguridad lógica
v Auditoria de las comunicaciones
v Auditoria de la seguridad en protección
Perfil del auditor informático:
Existe un vacío legal que defina quien puede ser auditor informático, aunque debe disponer de conocimiento tanto en la normativa aplicable como en informática, en la técnica de la auditoria, siendo por tanto aceptables equipos multidisciplinarios formados por informáticos y licenciados en derecho especializados en el mundo de la auditoria.
Principales pruebas y herramientas para efectuar una auditoria informática
v Pruebas clásicas, sustantivas y de cumplimiento.
Las herramientas son:
v Observación
v Realización de cuestionarios
v Entrevistas a auditados y no auditados
v Muestreo de estadísticas
v Flujogramas
v Lista de chequeos
v Mapas conceptuales
“Seguridad Informática”
La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
Objetivos
Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos:
v Información: Es el objeto de mayor valor para una organización, el objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico.
v Equipos que la soportan: Software, hardware y organización.
v Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información.
Análisis de riesgos
v Información: Es el objeto de mayor valor para una organización, el objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico.
v Equipos que la soportan: Software, hardware y organización.
v Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información.
Análisis de riesgos
Los medios para conseguirlo son:
Restringir el acceso a los programas y archivos.
Asegurar que los operadores no puedan modificar los programas ni los archivos que no correspondan
Asegurar que se utilicen el procedimiento elegido.
Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado
Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.
Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos
Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.
Puesta en marcha de una política de seguridad
En lo referente a elaborar una política de seguridad, conviene:
v Elaborar reglas y procedimientos para cada servicio de la organización.
v Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión
v Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos.
Las amenazas
Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguros, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos.
Estos fenómenos pueden ser causados por:
v El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito).
v Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía.
v Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, deshacer, script kiddie o Script boy, viruxer, etc.).
v Un siniestro (robo, incendio, por agua): una mala manipulación o una mala intención derivan a la pérdida del material o de los archivos.
v El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.
Técnicas de aseguramiento del sistema
v Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo.
v Vigilancia de red. Zona desmilitarizada
v Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.
Organismos oficiales de seguridad informática
Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, tales como el CERT/CC (Computer Emergency Response Team Coordination Center) del SEI (Software Engineering Institute) de la Carnegie Mellon University el cual es un centro de alerta y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.
Chicas, veo que han mejorado muchísimo la edición del blog. Está muy clara la edicióndel texto. Me gustaría que en futuras entradas lo redacten con sus palabras, que rearmen la información, que muestren sus opiniones, su parecer. Me parecen maravillos los gráficos. En cuento tengan un tiempo me gustaría explicarles algunas cosas sobre el tema de la edición de los gráficos.
ResponderEliminarUn saludo.
Lucrecia Canabal