SlideShare una empresa de Scribd logo

Resumen de evaluacion y auditoria de sistema

Descargar como DOCX, PDF
O
Omar Adames

auditoria de sistema

Tecnología
1 de 15
DAYALIA PORTUGAL 9-743-357 OMAR ADAMES 8-893-573 RESUMEN DE EVALUACION Y AUDITORIA DE SISTEMA CONTROL INTERNO INFORMÁTICO El Control Interno Informático puede definirse como el sistema integrado al procesoadministrativo, en la planeación, organización, direccióny control de las operaciones conel objeto de asegurar la protecciónde todos los recursos informáticos y mejorar los índices de economía,eficienciay efectividad de los procesosoperativos automatizados. OBJETIVOS PRINCIPALES:  Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados,evaluar su bondad y asegurarse del cumplimiento de las normas legales.  Asesorarsobre el conocimiento de las normas.  Colaborar y apoyar el trabajo de Auditoría Informática interna/externa. Tipos:  Controles manuales: aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.  Controles Automáticos:son generalmente los incorporados en el software, llámense estos de operación,de comunicación, de gestiónde base de datos, programas de aplicación. Los controles según su finalidad se clasifican en:  Controles Preventivos: para tratar de evitar la producciónde errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
 Controles Detectivos:tratan de descubrira posteriorerrores o fraudes que no haya sido posible evitarlos con controles preventivos.  Controles Correctivos:tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos. CONTROL INTERNO INFORMÁTICO (FUNCIÓN) El Control Interno Informático es una función del departamento de Informática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legalesestablecidas interna y externamente. Entre sus funciones específicas están:  Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personalde programadores,técnicos y operadores.  Diseñar la estructura del Sistemade Control Interno de la Direcciónde Informática en los siguientes aspectos:  Desarrollo y mantenimiento del software de aplicación.  Explotación de servidores principales  Software de Base  Redes de Computación  Seguridad Informática CONTROL INTERNO INFORMÁTICO (SISTEMA) Un Sistema de Control Interno Informático debe asegurar la integridad, disponibilidad y eficaciade los sistemas informáticos a través de mecanismos o actividades de control. Para conocerla configuracióndel sistema se deberádocumentar:  Entorno de Red:esquema,configuración del hardware y software de comunicaciones y esquemade seguridad de la red.  Productos y herramientas: software de programacióndiseño y documentación,software de gestiónde biblioteca.  Auditoría Informática Interna: revisará periódicamente la estructura de control interno tanto en su diseño como en su
cumplimiento por parte de cada una de las áreas definidas en él y de acuerdo al nivel de riesgo. CONTROL INTERNO INFORMÁTICO (ÁREAS DE APLICACIÓN) CONTROLES GENERALES ORGANIZATIVOS: Son la base para la planificación, control y evaluación por la Dirección General de las actividades del Departamento de Informática, y debe contener la siguiente planificación:  Plan Estratégico de Informaciónrealizado por el Comité de Informática.  Plan General de Seguridad (físicay lógica). CONTROLESDE DESARROLLOY MANTENIMIENTO DE SISTEMAS DE INFORMACION Permiten alcanzar la eficacia del sistema, economía,eficiencia, integridad de datos, protecciónde recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones. CONTROLESDE EXPLOTACIONDE SISTEMASDE INFORMACION Tienen que ver con la gestiónde los recursos tanto a nivel de planificación, adquisición y uso del hardware así como los procedimientos de,instalación y ejecucióndel software. CONTROLESEN APLICACIONES Toda aplicación debe llevar controles incorporados paragarantizar la entrada, actualización, salida, validez y mantenimiento completosy exactos de los datos. CONTROLESEN SISTEMASDE GESTIONDE BASE DE DATOS Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y seguridad. CONTROLESINFORMATICOS SOBREREDES
Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organización sean estas centrales y/o distribuidas. CONTROLESSOBRE COMPUTADORES Y REDES DE AREA LOCAL Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware como del software de usuario, así como la seguridad de los datos que en ellos se procesan. ADMINISTRACIÓN DE CENTROS DE CÓMPUTO ¿Qué es un Centro de Cómputo? Un centro de cómputo representauna entidad dentro de la organización, la cual tiene como objetivo satisfacerlas necesidades de información de la empresa,de manera veraz y oportuna. Su función primordial es apoyar la labor administrativa para hacerla más segura, fluida, y así simplificarla. Planeación de los Servicios de Cómputo:  Estructura Organizacional y Control Administrativo.  Reclutamiento, Promocióny Evaluación de Personal.  Presupuesto,Gastos y Análisis Financiero. La Administración de Redes es un conjunto de técnicas tendientes a mantener una red operativa, eficiente,segura, constantemente monitoreada y con una planeación adecuada y propiamente documentada. Sus objetivos son:  Mejorar la continuidad en la operaciónde la red con mecanismos adecuados de control y monitoreo, de resoluciónde problemas y de suministro de recursos.  Hacer uso eficiente de la red y utilizar mejorlos recursos,como por ejemplo,el ancho de banda.  Reducir costos pormedio del control de gastos y de mejores mecanismos de cobro.
La administración de la red se vuelve más importante y difícilsi se consideraque las redes actuales comprendanlo siguiente:  Mezclas de diversas señales, como voz, datos, imagen y gráficas.  Interconexiónde varios tipos de redes,como WAN, LAN y MAN.  El uso de múltiples medios de comunicación, como par trenzado, cable coaxial, fibra óptica, satélite, láser, infrarrojo y microondas. Criterios de evaluación sistema de informaciónen uso:  Navegación. La sobrecargainformativa en la memoria del usuario a la hora de consultar la base de datos debe minimizarse. Siempre es mucho mejor reconocerque recordar. Un sistema de navegación bien diseñado facilita la recuperación de información en estas bases de datos.  Ayuda en línea. El sistemadebe incorporar mecanismos para reconocer,diagnosticary solucionar errores.  Funcionalidad. Las funciones de uso debenrecogerse de manera explícitaen un apartado de descripciónde la base de datos: lenguas con las que trabaja, perfiles de usuario a los que se dirige, ámbitos temáticos que abarca. EVALUACIONDE LA SEGURIDAD  Hardware  Aplicaciones delsoftware  Plan de contingencias y de recuperación Objetivos:  Verificar que existan los planes, políticas y procedimientos relativos a la seguridad dentro de la organización.  Asegurar la disponibilidad y continuidad del equipo de cómputo el tiempo que requieran los usuarios para el procesamiento oportuno de sus aplicaciones. METODOLOGÍAPARA LA EVALUACIÓNDE LAS BASES DE DATOS:
Consistencia,Cobertura / alcance, Tasa error / exactitud, Rendimiento, Respaldo y entrenamiento al cliente, Accesibilidad/ facilidad de uso, Actualidad, Integración,documentación,y Tasa valor/costo. EVALUACION DE LA RED Estructura de las redes:  El Software de Aplicaciones,programas que se comunican con los usuarios de la red y permiten compartir información (como archivos, gráficos o vídeos)y recursos (como impresoras o unidades de disco).  El software de Red,programas que establecenprotocolos para que los ordenadores se comuniquen entre sí.  El Hardware de Red, formado porlos componentes materiales que unen los ordenadores. Tipos de Redes:  Redes Compartidas:aquellas a las que se une un gran número de usuarios, compartiendo todas las necesidadesde transmisión e incluso con transmisiones de otra naturaleza.  Redes exclusivas: aquellas que por motivo de seguridad, velocidad o ausencia de otro tipo de red, conectan dos o más puntos de forma exclusiva. Otro tipo se analiza en cuanto a la propiedad a la que pertenezcan dichas estructuras, en este caso se clasifican en:  Redes privadas: aquellas que son gestionadas por personas particulares, empresau organizaciones de índole privado, en este tipo de red solo tienen acceso los terminales de los propietarios.  Redes públicas:aquellas que pertenecena organismos estatales y se encuentran abiertas a cualquier usuario que lo solicite mediante el correspondiente contrato. Otra clasificación,la más conocida,es según la cobertura del servicio en este caso pueden ser:
Redes LAN (Local Area Network), redes MAN (Metropolitan Area Network), redes WAN (Wide Area Network), redes internet y las redes inalámbricas. Topologías de Red:Cuando se menciona la topologíade redes,se hace referenciaa la forma geométricaen que están distribuidas las estaciones de trabajo y los cables que las conectan. Dentro de las topologías que existen, las más comunes son:
Aunque no son las más comunes también existen otras topologías generadas por las combinacionesentre las ya mencionadas anteriormente como es el caso de:
Protocolo de Redes:Los protocolo de red son una o más normas standard que especificanel método para enviar y recibir datos entre varios ordenadores. Dentro de la familia de protocolosse pueden distinguir:  Protocolosde transporte: ATP (Apple Talk Transaction Protocol), NetBios/NetBEUI,TCP (Transmission Control Protocol).  Protocolosde red: DDP (Delivery Datagram Protocol), IP (Internet Protocol).  Protocolosde aplicación: AFP (Appletalk File Protocol),FTP (File Transfer Protocol. Servicios de una Red:  Acceso,este servicios de acceso a la red comprendentanto la verificación de la identidad del usuario para determinar cuáles son los recursos de la misma que puede utilizar, como servicios para permitir la conexión de usuarios de la red desde lugares remotos.  Ficheros,el servicio de ficheros consiste en ofrecera la red grandes capacidades de almacenamiento para descargar o eliminar los discos de las estaciones.Una red de computadoras posibilita: Conclusiones:  Mayor facilidad en la comunicación entre usuarios.  Reducciónen el presupuesto para software y hardware.  Organización de los grupos de trabajo que la conforman. InvestigaciónPreliminar La investigación preliminar debe cumplir con los siguientes cinco objetivos:  Entender la naturaleza del problema:Es el primer objetivo de la investigación preliminar.  Definir el alcance y las restricciones o limitaciones del sistema: El alcance del proyecto es la extensión del proyecto o del sistema, o sea, hasta dónde se debe llegar.
 Identificarlos beneficios que se obtendríansi el sistema propuesto es completado:Se debe identificar los beneficios tangibles e intangibles que se esperan como resultado del “system request”.  Especificarun estimado de tiempo y costo para las próximas fases de desarrollo:Se debe presentar un estimado del tiempo que tomará realizar cada uno de las siguientes fases del desarrollo del sistema y del costo que la compañía debe incurrir para completarel sistema.  Presentar un informe a la gerencia describiendo el problemay detallando si se recomiendacontinuar con la fase de análisis del sistema – Debe incluir la evaluación del “system request”, estimado de tiempo y costo-beneficios y las recomendaciones. Pasos para realizar la investigación preliminar:  Obtener la autorización de la gerencia.  Identificarla información necesaria para el proyecto para cumplir con los cinco objetivos de la investigación (ya mencionados).  Analizar la información obtenida, identificando alternativas con sus costos y beneficiosy recomendando laacción que se debe tomar.  Presentar los resultados y recomendaciones a la gerencia. El análisis de la información puede definirse como la aplicación de técnicas de procesamiento automático del lenguaje natural, de clasificaciónautomática y de representacióngráfica (cartografía) del contenido cognitivo (conocimientos)y factual (fecha, lengua, tipo de publicación) de los datos bibliográficos (o textuales). La recolecciónde datos puede darse de varias maneras: Cuestionarios, Entrevistas, Observación, Informacióndocumental (archivo). PLANEACIÓNDE LA AUDITORÍA ENINFORMÁTICA Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas,organización y equipo.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde elpunto de vista de los dos objetivos: Evaluación de los sistemas y procedimientos,Evaluación de los equipos de cómputo. INVESTIGACIÓNPRELIMINAR:  Se deberáobservar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización. ADMINISTRACIÓN:  Se recopila la información para obteneruna visión general del departamento por medio de observaciones,entrevistas preliminares y solicitud de documentos para poderdefinir el objetivo y alcances del departamento.  Objetivos a corto y largo plazo.  Recursos materiales y técnicos SISTEMAS:  Descripcióngeneral de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.  Manual de formas.  Manual de procedimientosde los sistemas. PERSONAL PARTICIPANTE: Una de las partes más importantes dentro de la planeación de la auditoría en informática es el personal que deberá participar y sus características. PASOS A SEGUIR: Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que debensatisfaceresos objetivos. INFORMES:
En si todos los encuestados respondieronla totalidad de las preguntas. Evaluación de Riesgos  Se debe poderobteneruna evaluación económicadel impacto de estos sucesos.Este valor se podrá utilizar para contrastar el costo de la protecciónde la informaciónen análisis, versus el costo de volverla a producir (reproducir). La evaluación de riesgos y presentaciónde respuestas debe prepararse de forma personalizada para cada organización; pero se puede presuponeralgunas preguntas que ayudan en la identificación de lo anteriormente expuesto:  ¿Qué puede ir mal?"  ¿Con qué frecuencia puede ocurrir?"  ¿Cuáles serían sus consecuencias?"  ¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"  ¿Se está preparado para abrir las puertas del negocio sin sistemas,por un día, una semana, cuánto tiempo?". Tipo de Riesgo-Factor: 1. Niveles de riesgo: Estimacióndel riesgo de pérdida del recurso (R i ), Estimaciónde la importancia del recurso (I i ) 2. Identificaciónde Amenaza: Se suele dividir las amenazas existentes según su ámbito de acción:  Desastre del entorno (Seguridad Física).  Amenazas del sistema(Seguridad Lógica). 3. Evaluación de Costos:La evaluación de costos más ampliamente aceptada consiste en cuantificar los daños que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades.Un planteamiento posible para desarrollar esta políticaes el análisis de lo siguiente:  ¿Qué recursos se quieren proteger?  ¿De qué personas necesita protegerlos recursos?
El objetivo que se persigue es lograr que un ataque a los bienes sea más costoso que su valor, invirtiendo menos de lo que vale. Para esto se define tres costos fundamentales:  CP: Valor de los bienes y recursos protegidos.  CR:Costo de los medios necesarios para romperlas medidas de seguridad establecidas.  CS: Costo de las medidas de seguridad. Para que la políticade seguridad sea lógica y consistente se debe cumplir que:  CR > CP: o sea que un ataque para obtenerlos bienes debe ser más costoso que el valor de los mismos.Los beneficios obtenidos de romperlas medidas de seguridad no deben compensar el costo de desarrollo del ataque.  CP > CS: o sea que el costo de los bienes protegidos debe ser mayor que el costo de la protección. Valor Intrínseco:Es el más fácil de calcular (pero no fácil) ya que solo consiste en otorgar un valor a la información contestando preguntas como las mencionadas y examinando minuciosamente todos los componentesa proteger. Costos Derivados de la Pérdida: Debenconsiderarse elementos como:  Informaciónaparentemente inocua como datos personales,que pueden permitir a alguien suplantar identidades.  Datos confidenciales deacuerdos y contratos que un atacante podríausar para su beneficio. Punto de Equilibrio: Una vez evaluados los riesgos y los costos en los que se está dispuesto a incurrir y decidido el nivel de seguridad a adoptar. Plan de Contingencia Pese a todas las medidas de seguridad puede (va a) ocurrir un desastre.De hecho los expertos en seguridad afirman "sutilmente" que hay que definir un plan de recuperaciónde desastres "para cuando falle el sistema", no "por si falla el sistema".
Por tanto, es necesario que el Plan de Contingencias que incluya un plan de recuperación de desastres,el cual tendrá como objetivo, restaurar el servicio de cómputo en forma rápida, eficiente y con el menor costo y pérdidas posibles. Plan de Contingencias: Un Plan de contingencias es un instrumento de gestiónpara el buen gobierno de las Tecnologías de la Informacióny las Comunicaciones en el dominio del soporte y el desempeño (delivery and support, véase ITIL). Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía. Ciclo de vida: El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA (plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Nace de un análisis de riesgo donde, entre otras amenazas, se identifican aquellas que afectan a la continuidad del negocio… Contenido:  El plan de respaldo.Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización.  El plan de emergencia.Contempla las contramedidas necesarias durante la materialización de una amenaza, o inmediatamente después.Su finalidad es paliar los efectos adversos de la amenaza.  El plan de recuperación. Contemplalas medidas necesarias después de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materialización de la amenaza. El plan de contingencias no debe limitarse a estas medidas organizativas. También debe expresar claramente:  Qué recursos materiales son necesarios.  Qué personas están implicadas en el cumplimiento del plan.
Ejemplo: Este ejemplo no es ni mucho menos exhaustivo. Supongamos una pequeña compañíaque se dedica a la producciónde prendas textiles. Activos e interdependencias:Oficinas centrales → Centro de proceso de datos → Computadoras y almacenamiento → Informaciónde pedidos yfacturación → Procesode negocio de ventas → Imagen corporativa Amenaza: Incendio.(Los activos afectados son los anteriores). Impacto:(es un ejemplo ficticio)  Perdida de un 10% de clientes.  Imposibilidad de facturar durante un mes.  Imposibilidad de admitir pedidos durante un mes. El plan de contingencias contendríasomeramente las siguientes contramedidas:  Medidas técnicas:  Extintores contra incendios.  Detectoresde humo.  Medidas organizativas:  Seguro de incendios.  Precontrato de alquiler de equipos informáticos y ubicación alternativa. Los subplanes contendríanlas siguientes previsiones:  Plan de respaldo:  Revisión de extintores.  Simulacros de incendio.  Plan de emergencia:  Activación del precontrato de alquiler de equipos informáticos.  Restauración de las copias de respaldo.

Recomendados

Glosario
GlosarioGlosario
GlosarioAlexander Alfaro
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
 
Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNguest75288c
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOTavo Adame
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistemagabych88
 
Comercio electronico
Comercio electronicoComercio electronico
Comercio electronicoSenobioQuispeMollo2
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaEli Castro
 

Recomendados

Glosario
GlosarioGlosario
GlosarioAlexander Alfaro
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
 
Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNguest75288c
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOTavo Adame
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistemagabych88
 
Comercio electronico
Comercio electronicoComercio electronico
Comercio electronicoSenobioQuispeMollo2
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaEli Castro
 
Auditoria informática y redes de computadoras
Auditoria informática y redes de computadorasAuditoria informática y redes de computadoras
Auditoria informática y redes de computadorasTefita Chicaiza Arias
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
Presentación electiva v
Presentación electiva vPresentación electiva v
Presentación electiva vFran Deivis Rojas Marcano
 
Vulnerabilidad en los sistemas
Vulnerabilidad en los sistemasVulnerabilidad en los sistemas
Vulnerabilidad en los sistemasAlberth ibañez Fauched
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redesCarloz Kaztro
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
Power point informatica
Power point informaticaPower point informatica
Power point informaticafabioescobar17
 
Power blogger
Power bloggerPower blogger
Power bloggerSergio Sanchez de Castro
 
Laseguridadinformtica ivan
Laseguridadinformtica ivanLaseguridadinformtica ivan
Laseguridadinformtica ivanIvanEuan
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaLisbey Urrea
 
la disponibilidad de los sistemas de información
la disponibilidad de los sistemas de informaciónla disponibilidad de los sistemas de información
la disponibilidad de los sistemas de informaciónmarvel12
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Ana Pino
 
Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos Edgar Oswaldo Caballero Montes
 
Calidad y estandarizacion
Calidad y estandarizacionCalidad y estandarizacion
Calidad y estandarizacionYosel97
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencialguestfb90a7
 
Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Monic Arguello
 
Politicas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo GrupalPoliticas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo Grupaljose_calero
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
CLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinternoCLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinternoMiguel Angel Sandoval Calderon
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacionCarlos Jara
 

Más contenido relacionado

La actualidad más candente

Auditoria informática y redes de computadoras
Auditoria informática y redes de computadorasAuditoria informática y redes de computadoras
Auditoria informática y redes de computadorasTefita Chicaiza Arias
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
Power point informatica
Power point informaticaPower point informatica
Power point informaticafabioescobar17
 
Laseguridadinformtica ivan
Laseguridadinformtica ivanLaseguridadinformtica ivan
Laseguridadinformtica ivanIvanEuan
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaLisbey Urrea
 
la disponibilidad de los sistemas de información
la disponibilidad de los sistemas de informaciónla disponibilidad de los sistemas de información
la disponibilidad de los sistemas de informaciónmarvel12
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Ana Pino
 
Calidad y estandarizacion
Calidad y estandarizacionCalidad y estandarizacion
Calidad y estandarizacionYosel97
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencialguestfb90a7
 
Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Monic Arguello
 
Politicas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo GrupalPoliticas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo Grupaljose_calero
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 

La actualidad más candente (20)

Auditoria informática y redes de computadoras
Auditoria informática y redes de computadorasAuditoria informática y redes de computadoras
Auditoria informática y redes de computadoras
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacion
 
Presentación electiva v
Presentación electiva vPresentación electiva v
Presentación electiva v
 
Vulnerabilidad en los sistemas
Vulnerabilidad en los sistemasVulnerabilidad en los sistemas
Vulnerabilidad en los sistemas
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoria
 
Control informatico
Control informaticoControl informatico
Control informatico
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redes
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
 
Power point informatica
Power point informaticaPower point informatica
Power point informatica
 
Power blogger
Power bloggerPower blogger
Power blogger
 
Laseguridadinformtica ivan
Laseguridadinformtica ivanLaseguridadinformtica ivan
Laseguridadinformtica ivan
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
la disponibilidad de los sistemas de información
la disponibilidad de los sistemas de informaciónla disponibilidad de los sistemas de información
la disponibilidad de los sistemas de información
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)
 
Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos
 
Calidad y estandarizacion
Calidad y estandarizacionCalidad y estandarizacion
Calidad y estandarizacion
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencial
 
Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)Articles 349495 recurso-105 (1)
Articles 349495 recurso-105 (1)
 
Politicas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo GrupalPoliticas de seguridad de la Información - Trabajo Grupal
Politicas de seguridad de la Información - Trabajo Grupal
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datos
 

Similar a Resumen de evaluacion y auditoria de sistema

Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacionCarlos Jara
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónJesvale
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1Andres1dz
 
Evaluacion de sistemas
Evaluacion de sistemasEvaluacion de sistemas
Evaluacion de sistemasYonnathan Mesa
 
Trabajo de que es un administrador de red
Trabajo de que es un administrador de redTrabajo de que es un administrador de red
Trabajo de que es un administrador de redCarina Manzano
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridadmia
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica1803127313001
 
Basestecnicas
BasestecnicasBasestecnicas
BasestecnicasDanteJPH
 
Sistemas de informacion. psm
Sistemas de informacion. psmSistemas de informacion. psm
Sistemas de informacion. psmmanuelR22
 

Similar a Resumen de evaluacion y auditoria de sistema (20)

CLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinternoCLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinterno
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacion
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementación
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemas
 
Tarea
TareaTarea
Tarea
 
Administracion Redes
Administracion RedesAdministracion Redes
Administracion Redes
 
Introducción
IntroducciónIntroducción
Introducción
 
ADMINISTRADOR DE REDES
ADMINISTRADOR DE REDESADMINISTRADOR DE REDES
ADMINISTRADOR DE REDES
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1
 
Evaluacion de sistemas
Evaluacion de sistemasEvaluacion de sistemas
Evaluacion de sistemas
 
Sistemas
SistemasSistemas
Sistemas
 
Administracionredes
AdministracionredesAdministracionredes
Administracionredes
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
 
Trabajo de que es un administrador de red
Trabajo de que es un administrador de redTrabajo de que es un administrador de red
Trabajo de que es un administrador de red
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica
 
Basestecnicas
BasestecnicasBasestecnicas
Basestecnicas
 
Sistemas de informacion. psm
Sistemas de informacion. psmSistemas de informacion. psm
Sistemas de informacion. psm
 

Más de Omar Adames

Robótica según su estructura
Robótica según su estructuraRobótica según su estructura
Robótica según su estructuraOmar Adames
 
Tour islas Libertad y Ellis
Tour islas Libertad y EllisTour islas Libertad y Ellis
Tour islas Libertad y EllisOmar Adames
 
Emulador de consolas
Emulador de consolasEmulador de consolas
Emulador de consolasOmar Adames
 

Más de Omar Adames (6)

Robótica según su estructura
Robótica según su estructuraRobótica según su estructura
Robótica según su estructura
 
Omar redes educ
Omar redes educOmar redes educ
Omar redes educ
 
Tour islas Libertad y Ellis
Tour islas Libertad y EllisTour islas Libertad y Ellis
Tour islas Libertad y Ellis
 
Tipos de Gamers
Tipos de GamersTipos de Gamers
Tipos de Gamers
 
Emulador de consolas
Emulador de consolasEmulador de consolas
Emulador de consolas
 
Parches de vj
Parches de vjParches de vj
Parches de vj
 

Último

Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 

Último (20)

Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 

Resumen de evaluacion y auditoria de sistema

  • 1. DAYALIA PORTUGAL 9-743-357 OMAR ADAMES 8-893-573 RESUMEN DE EVALUACION Y AUDITORIA DE SISTEMA CONTROL INTERNO INFORMÁTICO El Control Interno Informático puede definirse como el sistema integrado al procesoadministrativo, en la planeación, organización, direccióny control de las operaciones conel objeto de asegurar la protecciónde todos los recursos informáticos y mejorar los índices de economía,eficienciay efectividad de los procesosoperativos automatizados. OBJETIVOS PRINCIPALES:  Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados,evaluar su bondad y asegurarse del cumplimiento de las normas legales.  Asesorarsobre el conocimiento de las normas.  Colaborar y apoyar el trabajo de Auditoría Informática interna/externa. Tipos:  Controles manuales: aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.  Controles Automáticos:son generalmente los incorporados en el software, llámense estos de operación,de comunicación, de gestiónde base de datos, programas de aplicación. Los controles según su finalidad se clasifican en:  Controles Preventivos: para tratar de evitar la producciónde errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
  • 2.  Controles Detectivos:tratan de descubrira posteriorerrores o fraudes que no haya sido posible evitarlos con controles preventivos.  Controles Correctivos:tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos. CONTROL INTERNO INFORMÁTICO (FUNCIÓN) El Control Interno Informático es una función del departamento de Informática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legalesestablecidas interna y externamente. Entre sus funciones específicas están:  Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personalde programadores,técnicos y operadores.  Diseñar la estructura del Sistemade Control Interno de la Direcciónde Informática en los siguientes aspectos:  Desarrollo y mantenimiento del software de aplicación.  Explotación de servidores principales  Software de Base  Redes de Computación  Seguridad Informática CONTROL INTERNO INFORMÁTICO (SISTEMA) Un Sistema de Control Interno Informático debe asegurar la integridad, disponibilidad y eficaciade los sistemas informáticos a través de mecanismos o actividades de control. Para conocerla configuracióndel sistema se deberádocumentar:  Entorno de Red:esquema,configuración del hardware y software de comunicaciones y esquemade seguridad de la red.  Productos y herramientas: software de programacióndiseño y documentación,software de gestiónde biblioteca.  Auditoría Informática Interna: revisará periódicamente la estructura de control interno tanto en su diseño como en su
  • 3. cumplimiento por parte de cada una de las áreas definidas en él y de acuerdo al nivel de riesgo. CONTROL INTERNO INFORMÁTICO (ÁREAS DE APLICACIÓN) CONTROLES GENERALES ORGANIZATIVOS: Son la base para la planificación, control y evaluación por la Dirección General de las actividades del Departamento de Informática, y debe contener la siguiente planificación:  Plan Estratégico de Informaciónrealizado por el Comité de Informática.  Plan General de Seguridad (físicay lógica). CONTROLESDE DESARROLLOY MANTENIMIENTO DE SISTEMAS DE INFORMACION Permiten alcanzar la eficacia del sistema, economía,eficiencia, integridad de datos, protecciónde recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones. CONTROLESDE EXPLOTACIONDE SISTEMASDE INFORMACION Tienen que ver con la gestiónde los recursos tanto a nivel de planificación, adquisición y uso del hardware así como los procedimientos de,instalación y ejecucióndel software. CONTROLESEN APLICACIONES Toda aplicación debe llevar controles incorporados paragarantizar la entrada, actualización, salida, validez y mantenimiento completosy exactos de los datos. CONTROLESEN SISTEMASDE GESTIONDE BASE DE DATOS Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y seguridad. CONTROLESINFORMATICOS SOBREREDES
  • 4. Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organización sean estas centrales y/o distribuidas. CONTROLESSOBRE COMPUTADORES Y REDES DE AREA LOCAL Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware como del software de usuario, así como la seguridad de los datos que en ellos se procesan. ADMINISTRACIÓN DE CENTROS DE CÓMPUTO ¿Qué es un Centro de Cómputo? Un centro de cómputo representauna entidad dentro de la organización, la cual tiene como objetivo satisfacerlas necesidades de información de la empresa,de manera veraz y oportuna. Su función primordial es apoyar la labor administrativa para hacerla más segura, fluida, y así simplificarla. Planeación de los Servicios de Cómputo:  Estructura Organizacional y Control Administrativo.  Reclutamiento, Promocióny Evaluación de Personal.  Presupuesto,Gastos y Análisis Financiero. La Administración de Redes es un conjunto de técnicas tendientes a mantener una red operativa, eficiente,segura, constantemente monitoreada y con una planeación adecuada y propiamente documentada. Sus objetivos son:  Mejorar la continuidad en la operaciónde la red con mecanismos adecuados de control y monitoreo, de resoluciónde problemas y de suministro de recursos.  Hacer uso eficiente de la red y utilizar mejorlos recursos,como por ejemplo,el ancho de banda.  Reducir costos pormedio del control de gastos y de mejores mecanismos de cobro.
  • 5. La administración de la red se vuelve más importante y difícilsi se consideraque las redes actuales comprendanlo siguiente:  Mezclas de diversas señales, como voz, datos, imagen y gráficas.  Interconexiónde varios tipos de redes,como WAN, LAN y MAN.  El uso de múltiples medios de comunicación, como par trenzado, cable coaxial, fibra óptica, satélite, láser, infrarrojo y microondas. Criterios de evaluación sistema de informaciónen uso:  Navegación. La sobrecargainformativa en la memoria del usuario a la hora de consultar la base de datos debe minimizarse. Siempre es mucho mejor reconocerque recordar. Un sistema de navegación bien diseñado facilita la recuperación de información en estas bases de datos.  Ayuda en línea. El sistemadebe incorporar mecanismos para reconocer,diagnosticary solucionar errores.  Funcionalidad. Las funciones de uso debenrecogerse de manera explícitaen un apartado de descripciónde la base de datos: lenguas con las que trabaja, perfiles de usuario a los que se dirige, ámbitos temáticos que abarca. EVALUACIONDE LA SEGURIDAD  Hardware  Aplicaciones delsoftware  Plan de contingencias y de recuperación Objetivos:  Verificar que existan los planes, políticas y procedimientos relativos a la seguridad dentro de la organización.  Asegurar la disponibilidad y continuidad del equipo de cómputo el tiempo que requieran los usuarios para el procesamiento oportuno de sus aplicaciones. METODOLOGÍAPARA LA EVALUACIÓNDE LAS BASES DE DATOS:
  • 6. Consistencia,Cobertura / alcance, Tasa error / exactitud, Rendimiento, Respaldo y entrenamiento al cliente, Accesibilidad/ facilidad de uso, Actualidad, Integración,documentación,y Tasa valor/costo. EVALUACION DE LA RED Estructura de las redes:  El Software de Aplicaciones,programas que se comunican con los usuarios de la red y permiten compartir información (como archivos, gráficos o vídeos)y recursos (como impresoras o unidades de disco).  El software de Red,programas que establecenprotocolos para que los ordenadores se comuniquen entre sí.  El Hardware de Red, formado porlos componentes materiales que unen los ordenadores. Tipos de Redes:  Redes Compartidas:aquellas a las que se une un gran número de usuarios, compartiendo todas las necesidadesde transmisión e incluso con transmisiones de otra naturaleza.  Redes exclusivas: aquellas que por motivo de seguridad, velocidad o ausencia de otro tipo de red, conectan dos o más puntos de forma exclusiva. Otro tipo se analiza en cuanto a la propiedad a la que pertenezcan dichas estructuras, en este caso se clasifican en:  Redes privadas: aquellas que son gestionadas por personas particulares, empresau organizaciones de índole privado, en este tipo de red solo tienen acceso los terminales de los propietarios.  Redes públicas:aquellas que pertenecena organismos estatales y se encuentran abiertas a cualquier usuario que lo solicite mediante el correspondiente contrato. Otra clasificación,la más conocida,es según la cobertura del servicio en este caso pueden ser:
  • 7. Redes LAN (Local Area Network), redes MAN (Metropolitan Area Network), redes WAN (Wide Area Network), redes internet y las redes inalámbricas. Topologías de Red:Cuando se menciona la topologíade redes,se hace referenciaa la forma geométricaen que están distribuidas las estaciones de trabajo y los cables que las conectan. Dentro de las topologías que existen, las más comunes son:
  • 8. Aunque no son las más comunes también existen otras topologías generadas por las combinacionesentre las ya mencionadas anteriormente como es el caso de:
  • 9. Protocolo de Redes:Los protocolo de red son una o más normas standard que especificanel método para enviar y recibir datos entre varios ordenadores. Dentro de la familia de protocolosse pueden distinguir:  Protocolosde transporte: ATP (Apple Talk Transaction Protocol), NetBios/NetBEUI,TCP (Transmission Control Protocol).  Protocolosde red: DDP (Delivery Datagram Protocol), IP (Internet Protocol).  Protocolosde aplicación: AFP (Appletalk File Protocol),FTP (File Transfer Protocol. Servicios de una Red:  Acceso,este servicios de acceso a la red comprendentanto la verificación de la identidad del usuario para determinar cuáles son los recursos de la misma que puede utilizar, como servicios para permitir la conexión de usuarios de la red desde lugares remotos.  Ficheros,el servicio de ficheros consiste en ofrecera la red grandes capacidades de almacenamiento para descargar o eliminar los discos de las estaciones.Una red de computadoras posibilita: Conclusiones:  Mayor facilidad en la comunicación entre usuarios.  Reducciónen el presupuesto para software y hardware.  Organización de los grupos de trabajo que la conforman. InvestigaciónPreliminar La investigación preliminar debe cumplir con los siguientes cinco objetivos:  Entender la naturaleza del problema:Es el primer objetivo de la investigación preliminar.  Definir el alcance y las restricciones o limitaciones del sistema: El alcance del proyecto es la extensión del proyecto o del sistema, o sea, hasta dónde se debe llegar.
  • 10.  Identificarlos beneficios que se obtendríansi el sistema propuesto es completado:Se debe identificar los beneficios tangibles e intangibles que se esperan como resultado del “system request”.  Especificarun estimado de tiempo y costo para las próximas fases de desarrollo:Se debe presentar un estimado del tiempo que tomará realizar cada uno de las siguientes fases del desarrollo del sistema y del costo que la compañía debe incurrir para completarel sistema.  Presentar un informe a la gerencia describiendo el problemay detallando si se recomiendacontinuar con la fase de análisis del sistema – Debe incluir la evaluación del “system request”, estimado de tiempo y costo-beneficios y las recomendaciones. Pasos para realizar la investigación preliminar:  Obtener la autorización de la gerencia.  Identificarla información necesaria para el proyecto para cumplir con los cinco objetivos de la investigación (ya mencionados).  Analizar la información obtenida, identificando alternativas con sus costos y beneficiosy recomendando laacción que se debe tomar.  Presentar los resultados y recomendaciones a la gerencia. El análisis de la información puede definirse como la aplicación de técnicas de procesamiento automático del lenguaje natural, de clasificaciónautomática y de representacióngráfica (cartografía) del contenido cognitivo (conocimientos)y factual (fecha, lengua, tipo de publicación) de los datos bibliográficos (o textuales). La recolecciónde datos puede darse de varias maneras: Cuestionarios, Entrevistas, Observación, Informacióndocumental (archivo). PLANEACIÓNDE LA AUDITORÍA ENINFORMÁTICA Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas,organización y equipo.
  • 11. En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde elpunto de vista de los dos objetivos: Evaluación de los sistemas y procedimientos,Evaluación de los equipos de cómputo. INVESTIGACIÓNPRELIMINAR:  Se deberáobservar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización. ADMINISTRACIÓN:  Se recopila la información para obteneruna visión general del departamento por medio de observaciones,entrevistas preliminares y solicitud de documentos para poderdefinir el objetivo y alcances del departamento.  Objetivos a corto y largo plazo.  Recursos materiales y técnicos SISTEMAS:  Descripcióngeneral de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.  Manual de formas.  Manual de procedimientosde los sistemas. PERSONAL PARTICIPANTE: Una de las partes más importantes dentro de la planeación de la auditoría en informática es el personal que deberá participar y sus características. PASOS A SEGUIR: Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que debensatisfaceresos objetivos. INFORMES:
  • 12. En si todos los encuestados respondieronla totalidad de las preguntas. Evaluación de Riesgos  Se debe poderobteneruna evaluación económicadel impacto de estos sucesos.Este valor se podrá utilizar para contrastar el costo de la protecciónde la informaciónen análisis, versus el costo de volverla a producir (reproducir). La evaluación de riesgos y presentaciónde respuestas debe prepararse de forma personalizada para cada organización; pero se puede presuponeralgunas preguntas que ayudan en la identificación de lo anteriormente expuesto:  ¿Qué puede ir mal?"  ¿Con qué frecuencia puede ocurrir?"  ¿Cuáles serían sus consecuencias?"  ¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"  ¿Se está preparado para abrir las puertas del negocio sin sistemas,por un día, una semana, cuánto tiempo?". Tipo de Riesgo-Factor: 1. Niveles de riesgo: Estimacióndel riesgo de pérdida del recurso (R i ), Estimaciónde la importancia del recurso (I i ) 2. Identificaciónde Amenaza: Se suele dividir las amenazas existentes según su ámbito de acción:  Desastre del entorno (Seguridad Física).  Amenazas del sistema(Seguridad Lógica). 3. Evaluación de Costos:La evaluación de costos más ampliamente aceptada consiste en cuantificar los daños que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades.Un planteamiento posible para desarrollar esta políticaes el análisis de lo siguiente:  ¿Qué recursos se quieren proteger?  ¿De qué personas necesita protegerlos recursos?
  • 13. El objetivo que se persigue es lograr que un ataque a los bienes sea más costoso que su valor, invirtiendo menos de lo que vale. Para esto se define tres costos fundamentales:  CP: Valor de los bienes y recursos protegidos.  CR:Costo de los medios necesarios para romperlas medidas de seguridad establecidas.  CS: Costo de las medidas de seguridad. Para que la políticade seguridad sea lógica y consistente se debe cumplir que:  CR > CP: o sea que un ataque para obtenerlos bienes debe ser más costoso que el valor de los mismos.Los beneficios obtenidos de romperlas medidas de seguridad no deben compensar el costo de desarrollo del ataque.  CP > CS: o sea que el costo de los bienes protegidos debe ser mayor que el costo de la protección. Valor Intrínseco:Es el más fácil de calcular (pero no fácil) ya que solo consiste en otorgar un valor a la información contestando preguntas como las mencionadas y examinando minuciosamente todos los componentesa proteger. Costos Derivados de la Pérdida: Debenconsiderarse elementos como:  Informaciónaparentemente inocua como datos personales,que pueden permitir a alguien suplantar identidades.  Datos confidenciales deacuerdos y contratos que un atacante podríausar para su beneficio. Punto de Equilibrio: Una vez evaluados los riesgos y los costos en los que se está dispuesto a incurrir y decidido el nivel de seguridad a adoptar. Plan de Contingencia Pese a todas las medidas de seguridad puede (va a) ocurrir un desastre.De hecho los expertos en seguridad afirman "sutilmente" que hay que definir un plan de recuperaciónde desastres "para cuando falle el sistema", no "por si falla el sistema".
  • 14. Por tanto, es necesario que el Plan de Contingencias que incluya un plan de recuperación de desastres,el cual tendrá como objetivo, restaurar el servicio de cómputo en forma rápida, eficiente y con el menor costo y pérdidas posibles. Plan de Contingencias: Un Plan de contingencias es un instrumento de gestiónpara el buen gobierno de las Tecnologías de la Informacióny las Comunicaciones en el dominio del soporte y el desempeño (delivery and support, véase ITIL). Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía. Ciclo de vida: El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA (plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Nace de un análisis de riesgo donde, entre otras amenazas, se identifican aquellas que afectan a la continuidad del negocio… Contenido:  El plan de respaldo.Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización.  El plan de emergencia.Contempla las contramedidas necesarias durante la materialización de una amenaza, o inmediatamente después.Su finalidad es paliar los efectos adversos de la amenaza.  El plan de recuperación. Contemplalas medidas necesarias después de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materialización de la amenaza. El plan de contingencias no debe limitarse a estas medidas organizativas. También debe expresar claramente:  Qué recursos materiales son necesarios.  Qué personas están implicadas en el cumplimiento del plan.
  • 15. Ejemplo: Este ejemplo no es ni mucho menos exhaustivo. Supongamos una pequeña compañíaque se dedica a la producciónde prendas textiles. Activos e interdependencias:Oficinas centrales → Centro de proceso de datos → Computadoras y almacenamiento → Informaciónde pedidos yfacturación → Procesode negocio de ventas → Imagen corporativa Amenaza: Incendio.(Los activos afectados son los anteriores). Impacto:(es un ejemplo ficticio)  Perdida de un 10% de clientes.  Imposibilidad de facturar durante un mes.  Imposibilidad de admitir pedidos durante un mes. El plan de contingencias contendríasomeramente las siguientes contramedidas:  Medidas técnicas:  Extintores contra incendios.  Detectoresde humo.  Medidas organizativas:  Seguro de incendios.  Precontrato de alquiler de equipos informáticos y ubicación alternativa. Los subplanes contendríanlas siguientes previsiones:  Plan de respaldo:  Revisión de extintores.  Simulacros de incendio.  Plan de emergencia:  Activación del precontrato de alquiler de equipos informáticos.  Restauración de las copias de respaldo.