ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
Resumen de evaluacion y auditoria de sistema
1. DAYALIA PORTUGAL 9-743-357
OMAR ADAMES 8-893-573
RESUMEN DE EVALUACION Y AUDITORIA DE SISTEMA
CONTROL INTERNO INFORMÁTICO
El Control Interno Informático puede definirse como el sistema
integrado al procesoadministrativo, en la planeación, organización,
direccióny control de las operaciones conel objeto de asegurar la
protecciónde todos los recursos informáticos y mejorar los índices de
economía,eficienciay efectividad de los procesosoperativos
automatizados.
OBJETIVOS PRINCIPALES:
Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados,evaluar su bondad y
asegurarse del cumplimiento de las normas legales.
Asesorarsobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoría Informática
interna/externa.
Tipos:
Controles manuales: aquellos que son ejecutados por el
personal del área usuaria o de informática sin la utilización de
herramientas computacionales.
Controles Automáticos:son generalmente los incorporados en el
software, llámense estos de operación,de comunicación, de
gestiónde base de datos, programas de aplicación.
Los controles según su finalidad se clasifican en:
Controles Preventivos: para tratar de evitar la producciónde
errores o hechos fraudulentos, como por ejemplo el software de
seguridad que evita el acceso a personal no autorizado.
2. Controles Detectivos:tratan de descubrira posteriorerrores o
fraudes que no haya sido posible evitarlos con controles
preventivos.
Controles Correctivos:tratan de asegurar que se subsanen todos
los errores identificados mediante los controles detectivos.
CONTROL INTERNO INFORMÁTICO (FUNCIÓN)
El Control Interno Informático es una función del departamento de
Informática de una organización, cuyo objetivo es el de controlar que
todas las actividades relacionadas a los sistemas de información
automatizados se realicen cumpliendo las normas, estándares,
procedimientos y disposiciones legalesestablecidas interna y
externamente. Entre sus funciones específicas están:
Difundir y controlar el cumplimiento de las normas, estándares y
procedimientos al personalde programadores,técnicos y
operadores.
Diseñar la estructura del Sistemade Control Interno de la
Direcciónde Informática en los siguientes aspectos:
Desarrollo y mantenimiento del software de aplicación.
Explotación de servidores principales
Software de Base
Redes de Computación
Seguridad Informática
CONTROL INTERNO INFORMÁTICO (SISTEMA)
Un Sistema de Control Interno Informático debe asegurar la integridad,
disponibilidad y eficaciade los sistemas informáticos a través de
mecanismos o actividades de control.
Para conocerla configuracióndel sistema se deberádocumentar:
Entorno de Red:esquema,configuración del hardware y
software de comunicaciones y esquemade seguridad de la red.
Productos y herramientas: software de programacióndiseño y
documentación,software de gestiónde biblioteca.
Auditoría Informática Interna: revisará periódicamente la
estructura de control interno tanto en su diseño como en su
3. cumplimiento por parte de cada una de las áreas definidas en él
y de acuerdo al nivel de riesgo.
CONTROL INTERNO INFORMÁTICO (ÁREAS DE
APLICACIÓN)
CONTROLES GENERALES ORGANIZATIVOS:
Son la base para la planificación, control y evaluación por la Dirección
General de las actividades del Departamento de Informática, y debe
contener la siguiente planificación:
Plan Estratégico de Informaciónrealizado por el Comité de
Informática.
Plan General de Seguridad (físicay lógica).
CONTROLESDE DESARROLLOY MANTENIMIENTO DE
SISTEMAS DE INFORMACION
Permiten alcanzar la eficacia del sistema, economía,eficiencia,
integridad de datos, protecciónde recursos y cumplimiento con las
leyes y regulaciones a través de metodologías como la del Ciclo de
Vida de Desarrollo de aplicaciones.
CONTROLESDE EXPLOTACIONDE SISTEMASDE INFORMACION
Tienen que ver con la gestiónde los recursos tanto a nivel de
planificación, adquisición y uso del hardware así como los
procedimientos de,instalación y ejecucióndel software.
CONTROLESEN APLICACIONES
Toda aplicación debe llevar controles incorporados paragarantizar la
entrada, actualización, salida, validez y mantenimiento completosy
exactos de los datos.
CONTROLESEN SISTEMASDE GESTIONDE BASE DE DATOS
Tienen que ver con la administración de los datos para asegurar su
integridad, disponibilidad y seguridad.
CONTROLESINFORMATICOS SOBREREDES
4. Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad
y funcionamiento de las redes instaladas en una organización sean
estas centrales y/o distribuidas.
CONTROLESSOBRE COMPUTADORES Y REDES DE AREA
LOCAL
Se relacionan a las políticas de adquisición, instalación y soporte
técnico, tanto del hardware como del software de usuario, así como la
seguridad de los datos que en ellos se procesan.
ADMINISTRACIÓN DE CENTROS DE CÓMPUTO
¿Qué es un Centro de Cómputo?
Un centro de cómputo representauna entidad dentro de la
organización, la cual tiene como objetivo satisfacerlas necesidades de
información de la empresa,de manera veraz y oportuna. Su función
primordial es apoyar la labor administrativa para hacerla más segura,
fluida, y así simplificarla.
Planeación de los Servicios de Cómputo:
Estructura Organizacional y Control Administrativo.
Reclutamiento, Promocióny Evaluación de Personal.
Presupuesto,Gastos y Análisis Financiero.
La Administración de Redes es un conjunto de técnicas tendientes a
mantener una red operativa, eficiente,segura, constantemente
monitoreada y con una planeación adecuada y propiamente
documentada.
Sus objetivos son:
Mejorar la continuidad en la operaciónde la red con mecanismos
adecuados de control y monitoreo, de resoluciónde problemas y
de suministro de recursos.
Hacer uso eficiente de la red y utilizar mejorlos recursos,como
por ejemplo,el ancho de banda.
Reducir costos pormedio del control de gastos y de mejores
mecanismos de cobro.
5. La administración de la red se vuelve más importante y difícilsi se
consideraque las redes actuales comprendanlo siguiente:
Mezclas de diversas señales, como voz, datos, imagen y
gráficas.
Interconexiónde varios tipos de redes,como WAN, LAN y MAN.
El uso de múltiples medios de comunicación, como par trenzado,
cable coaxial, fibra óptica, satélite, láser, infrarrojo y microondas.
Criterios de evaluación sistema de informaciónen uso:
Navegación. La sobrecargainformativa en la memoria del
usuario a la hora de consultar la base de datos debe
minimizarse. Siempre es mucho mejor reconocerque recordar.
Un sistema de navegación bien diseñado facilita la recuperación
de información en estas bases de datos.
Ayuda en línea. El sistemadebe incorporar mecanismos para
reconocer,diagnosticary solucionar errores.
Funcionalidad. Las funciones de uso debenrecogerse de
manera explícitaen un apartado de descripciónde la base de
datos: lenguas con las que trabaja, perfiles de usuario a los que
se dirige, ámbitos temáticos que abarca.
EVALUACIONDE LA SEGURIDAD
Hardware
Aplicaciones delsoftware
Plan de contingencias y de recuperación
Objetivos:
Verificar que existan los planes, políticas y procedimientos
relativos a la seguridad dentro de la organización.
Asegurar la disponibilidad y continuidad del equipo de cómputo
el tiempo que requieran los usuarios para el procesamiento
oportuno de sus aplicaciones.
METODOLOGÍAPARA LA EVALUACIÓNDE LAS BASES DE
DATOS:
6. Consistencia,Cobertura / alcance, Tasa error / exactitud, Rendimiento,
Respaldo y entrenamiento al cliente, Accesibilidad/ facilidad de uso,
Actualidad, Integración,documentación,y Tasa valor/costo.
EVALUACION DE LA RED
Estructura de las redes:
El Software de Aplicaciones,programas que se comunican con
los usuarios de la red y permiten compartir información (como
archivos, gráficos o vídeos)y recursos (como impresoras o
unidades de disco).
El software de Red,programas que establecenprotocolos para
que los ordenadores se comuniquen entre sí.
El Hardware de Red, formado porlos componentes materiales
que unen los ordenadores.
Tipos de Redes:
Redes Compartidas:aquellas a las que se une un gran número
de usuarios, compartiendo todas las necesidadesde transmisión
e incluso con transmisiones de otra naturaleza.
Redes exclusivas: aquellas que por motivo de seguridad,
velocidad o ausencia de otro tipo de red, conectan dos o más
puntos de forma exclusiva.
Otro tipo se analiza en cuanto a la propiedad a la que pertenezcan
dichas estructuras, en este caso se clasifican en:
Redes privadas: aquellas que son gestionadas por personas
particulares, empresau organizaciones de índole privado, en
este tipo de red solo tienen acceso los terminales de los
propietarios.
Redes públicas:aquellas que pertenecena organismos estatales
y se encuentran abiertas a cualquier usuario que lo solicite
mediante el correspondiente contrato.
Otra clasificación,la más conocida,es según la cobertura del servicio
en este caso pueden ser:
7. Redes LAN (Local Area Network), redes MAN (Metropolitan Area
Network), redes WAN (Wide Area Network), redes internet y las redes
inalámbricas.
Topologías de Red:Cuando se menciona la topologíade redes,se
hace referenciaa la forma geométricaen que están distribuidas las
estaciones de trabajo y los cables que las conectan.
Dentro de las topologías que existen, las más comunes son:
8. Aunque no son las más comunes también existen otras topologías
generadas por las combinacionesentre las ya mencionadas
anteriormente como es el caso de:
9. Protocolo de Redes:Los protocolo de red son una o más normas
standard que especificanel método para enviar y recibir datos entre
varios ordenadores.
Dentro de la familia de protocolosse pueden distinguir:
Protocolosde transporte: ATP (Apple Talk Transaction Protocol),
NetBios/NetBEUI,TCP (Transmission Control Protocol).
Protocolosde red: DDP (Delivery Datagram Protocol), IP
(Internet Protocol).
Protocolosde aplicación: AFP (Appletalk File Protocol),FTP (File
Transfer Protocol.
Servicios de una Red:
Acceso,este servicios de acceso a la red comprendentanto la
verificación de la identidad del usuario para determinar cuáles
son los recursos de la misma que puede utilizar, como servicios
para permitir la conexión de usuarios de la red desde lugares
remotos.
Ficheros,el servicio de ficheros consiste en ofrecera la red
grandes capacidades de almacenamiento para descargar o
eliminar los discos de las estaciones.Una red de computadoras
posibilita:
Conclusiones:
Mayor facilidad en la comunicación entre usuarios.
Reducciónen el presupuesto para software y hardware.
Organización de los grupos de trabajo que la conforman.
InvestigaciónPreliminar
La investigación preliminar debe cumplir con los siguientes cinco
objetivos:
Entender la naturaleza del problema:Es el primer objetivo de la
investigación preliminar.
Definir el alcance y las restricciones o limitaciones del sistema:
El alcance del proyecto es la extensión del proyecto o del
sistema, o sea, hasta dónde se debe llegar.
10. Identificarlos beneficios que se obtendríansi el sistema
propuesto es completado:Se debe identificar los beneficios
tangibles e intangibles que se esperan como resultado del
“system request”.
Especificarun estimado de tiempo y costo para las próximas
fases de desarrollo:Se debe presentar un estimado del tiempo
que tomará realizar cada uno de las siguientes fases del
desarrollo del sistema y del costo que la compañía debe incurrir
para completarel sistema.
Presentar un informe a la gerencia describiendo el problemay
detallando si se recomiendacontinuar con la fase de análisis del
sistema – Debe incluir la evaluación del “system request”,
estimado de tiempo y costo-beneficios y las recomendaciones.
Pasos para realizar la investigación preliminar:
Obtener la autorización de la gerencia.
Identificarla información necesaria para el proyecto para cumplir
con los cinco objetivos de la investigación (ya mencionados).
Analizar la información obtenida, identificando alternativas con
sus costos y beneficiosy recomendando laacción que se debe
tomar.
Presentar los resultados y recomendaciones a la gerencia.
El análisis de la información puede definirse como la aplicación de
técnicas de procesamiento automático del lenguaje natural, de
clasificaciónautomática y de representacióngráfica (cartografía) del
contenido cognitivo (conocimientos)y factual (fecha, lengua, tipo de
publicación) de los datos bibliográficos (o textuales).
La recolecciónde datos puede darse de varias maneras:
Cuestionarios, Entrevistas, Observación, Informacióndocumental
(archivo).
PLANEACIÓNDE LA AUDITORÍA ENINFORMÁTICA
Para hacer una adecuada planeación de la auditoría en informática,
hay que seguir una serie de pasos previos que permitirán dimensionar
el tamaño y características de área dentro del organismo a auditar, sus
sistemas,organización y equipo.
11. En el caso de la auditoría en informática, la planeación es
fundamental, pues habrá que hacerla desde elpunto de vista de los
dos objetivos:
Evaluación de los sistemas y procedimientos,Evaluación de los
equipos de cómputo.
INVESTIGACIÓNPRELIMINAR:
Se deberáobservar el estado general del área, su situación
dentro de la organización, si existe la información solicitada, si es
o no necesaria y la fecha de su última actualización.
ADMINISTRACIÓN:
Se recopila la información para obteneruna visión general del
departamento por medio de observaciones,entrevistas
preliminares y solicitud de documentos para poderdefinir el
objetivo y alcances del departamento.
Objetivos a corto y largo plazo.
Recursos materiales y técnicos
SISTEMAS:
Descripcióngeneral de los sistemas instalados y de los que
estén por instalarse que contengan volúmenes de información.
Manual de formas.
Manual de procedimientosde los sistemas.
PERSONAL PARTICIPANTE:
Una de las partes más importantes dentro de la planeación de la
auditoría en informática es el personal que deberá participar y sus
características.
PASOS A SEGUIR:
Se requieren varios pasos para realizar una auditoría. El auditor de
sistemas debe evaluar los riesgos globales y luego desarrollar un
programa de auditoría que consta de objetivos de control y
procedimientos de auditoría que debensatisfaceresos objetivos.
INFORMES:
12. En si todos los encuestados respondieronla totalidad de las
preguntas.
Evaluación de Riesgos
Se debe poderobteneruna evaluación económicadel impacto
de estos sucesos.Este valor se podrá utilizar para contrastar el
costo de la protecciónde la informaciónen análisis, versus el
costo de volverla a producir (reproducir).
La evaluación de riesgos y presentaciónde respuestas debe
prepararse de forma personalizada para cada organización; pero se
puede presuponeralgunas preguntas que ayudan en la identificación
de lo anteriormente expuesto:
¿Qué puede ir mal?"
¿Con qué frecuencia puede ocurrir?"
¿Cuáles serían sus consecuencias?"
¿Qué fiabilidad tienen las respuestas a las tres primeras
preguntas?"
¿Se está preparado para abrir las puertas del negocio sin
sistemas,por un día, una semana, cuánto tiempo?".
Tipo de Riesgo-Factor:
1. Niveles de riesgo: Estimacióndel riesgo de pérdida del recurso
(R i ), Estimaciónde la importancia del recurso (I i )
2. Identificaciónde Amenaza: Se suele dividir las amenazas
existentes según su ámbito de acción:
Desastre del entorno (Seguridad Física).
Amenazas del sistema(Seguridad Lógica).
3. Evaluación de Costos:La evaluación de costos más
ampliamente aceptada consiste en cuantificar los daños que
cada posible vulnerabilidad puede causar teniendo en cuenta las
posibilidades.Un planteamiento posible para desarrollar esta
políticaes el análisis de lo siguiente:
¿Qué recursos se quieren proteger?
¿De qué personas necesita protegerlos
recursos?
13. El objetivo que se persigue es lograr que un ataque a los bienes sea
más costoso que su valor, invirtiendo menos de lo que vale. Para esto
se define tres costos fundamentales:
CP: Valor de los bienes y recursos protegidos.
CR:Costo de los medios necesarios para romperlas medidas de
seguridad establecidas.
CS: Costo de las medidas de seguridad.
Para que la políticade seguridad sea lógica y consistente se debe
cumplir que:
CR > CP: o sea que un ataque para obtenerlos bienes debe ser
más costoso que el valor de los mismos.Los beneficios
obtenidos de romperlas medidas de seguridad no deben
compensar el costo de desarrollo del ataque.
CP > CS: o sea que el costo de los bienes protegidos debe ser
mayor que el costo de la protección.
Valor Intrínseco:Es el más fácil de calcular (pero no fácil) ya que solo
consiste en otorgar un valor a la información contestando preguntas
como las mencionadas y examinando minuciosamente todos los
componentesa proteger.
Costos Derivados de la Pérdida: Debenconsiderarse elementos como:
Informaciónaparentemente inocua como datos personales,que
pueden permitir a alguien suplantar identidades.
Datos confidenciales deacuerdos y contratos que un atacante
podríausar para su beneficio.
Punto de Equilibrio: Una vez evaluados los riesgos y los costos en los
que se está dispuesto a incurrir y decidido el nivel de seguridad a
adoptar.
Plan de Contingencia
Pese a todas las medidas de seguridad puede (va a) ocurrir un
desastre.De hecho los expertos en seguridad afirman "sutilmente" que
hay que definir un plan de recuperaciónde desastres "para cuando
falle el sistema", no "por si falla el sistema".
14. Por tanto, es necesario que el Plan de Contingencias que incluya un
plan de recuperación de desastres,el cual tendrá como objetivo,
restaurar el servicio de cómputo en forma rápida, eficiente y con el
menor costo y pérdidas posibles.
Plan de Contingencias:
Un Plan de contingencias es un instrumento de gestiónpara el buen
gobierno de las Tecnologías de la Informacióny las Comunicaciones
en el dominio del soporte y el desempeño (delivery and support, véase
ITIL).
Dicho plan contiene las medidas técnicas, humanas y organizativas
necesarias para garantizar la continuidad del negocio y las
operaciones de una compañía.
Ciclo de vida:
El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA
(plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Nace
de un análisis de riesgo donde, entre otras amenazas, se identifican
aquellas que afectan a la continuidad del negocio…
Contenido:
El plan de respaldo.Contempla las contramedidas preventivas
antes de que se materialice una amenaza. Su finalidad es evitar
dicha materialización.
El plan de emergencia.Contempla las contramedidas necesarias
durante la materialización de una amenaza, o inmediatamente
después.Su finalidad es paliar los efectos adversos de la
amenaza.
El plan de recuperación. Contemplalas medidas necesarias
después de materializada y controlada la amenaza. Su finalidad
es restaurar el estado de las cosas tal y como se encontraban
antes de la materialización de la amenaza.
El plan de contingencias no debe limitarse a estas medidas
organizativas. También debe expresar claramente:
Qué recursos materiales son necesarios.
Qué personas están implicadas en el cumplimiento del plan.
15. Ejemplo:
Este ejemplo no es ni mucho menos exhaustivo. Supongamos una
pequeña compañíaque se dedica a la producciónde prendas textiles.
Activos e interdependencias:Oficinas centrales → Centro de proceso
de datos → Computadoras y almacenamiento → Informaciónde
pedidos yfacturación → Procesode negocio de ventas → Imagen
corporativa
Amenaza: Incendio.(Los activos afectados son los anteriores).
Impacto:(es un ejemplo ficticio)
Perdida de un 10% de clientes.
Imposibilidad de facturar durante un mes.
Imposibilidad de admitir pedidos durante un mes.
El plan de contingencias contendríasomeramente las siguientes
contramedidas:
Medidas técnicas:
Extintores contra incendios.
Detectoresde humo.
Medidas organizativas:
Seguro de incendios.
Precontrato de alquiler de equipos informáticos y ubicación
alternativa.
Los subplanes contendríanlas siguientes previsiones:
Plan de respaldo:
Revisión de extintores.
Simulacros de incendio.
Plan de emergencia:
Activación del precontrato de alquiler de equipos informáticos.
Restauración de las copias de respaldo.