SlideShare una empresa de Scribd logo

Auditoría informática y seguridad de sistemas

Descargar como PPT, PDF
Dexter Guzmán
Dexter Guzmán

Este documento trata sobre auditoría y seguridad informática. Explica que la auditoría es el examen de la información por terceras partes para establecer su suficiencia y adecuación a las normas, con el objetivo de evaluar la eficiencia, eficacia y logro de objetivos. También cubre conceptos clave de seguridad como integridad, confidencialidad, privacidad, continuidad, vulnerabilidad, contingencia y los planes de seguridad e informáticos para prevenir y corregir errores que afecten los sistemas.

1 de 49
AUDITORIA y SEGURIDAD INFORMÁTICA Informática Básica Aplicada UNLaR Ciclo 2008 Prof. Marcelo Martínez
Porqué? • La vulnerabilidad acarreada por los computadores • Impacto de los computadores sobre las tareas de auditoría • La adecuación de las normas de auditoría a un entorno electrónico
Auditar • Ejercer control sobre una determinada acción • Donde auditamos a menudo? – A nivel personal – A nivel laboral – A nivel académico
Control • Actividad/es o acción/es realizadas por uno o varios elementos de un sistema, que tienen como finalidad la prevención, detección y corrección de errores que afecten la homeostasis del sistema I/E Proceso C O/S
Etimología – AUDITORIUS • Latín: Auditor, que tiene la virtud de oir
Diccionario – AUDITOR • Revisor de cuentas colegiado
Auditoria • Es el examen de la información por TERCERAS partes, distintas de quienes la generan y quienes la utilizan • Se produce con la intención de establecer su suficiencia y adecuación a las normas.- Es necesario poder medirlas, necesitamos un patrón • Produce informes como resultado del examen critico • Su objetivo es: evaluar la eficiencia y eficacia, determinar cursos de acción alternativos y el logro de los objetivos propuestos • MEJORA CONTINUA!!!!
Auditoria según IMC • Agrega a la definición anterior. – La auditoria requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos IMC= Instituto Mexicano de Contabilidad
Pregunta? • Alberto es contador • Alberto es responsable – Ambos son juicios?
NO • La primera es una afirmación, observación de lo que es verdadero para nosotros. Nos permiten describir al manera en que vemos las cosas • La segunda es un JUICIO, un tipo especial de DECLARACION. Es una apreciación, opinión o interpretación NUESTRA de lo que observamos.
Caso de estudio …. Virginia, tiene 30 años, estudió en Córdoba y es muy agradable como ser humano. Actualmente esta casada, tiene 3 hijos y su capacidad profesional asombra a todos sus colegas. Vive en La Rioja y su casa es muy linda. Hoy nos acompaña en esta clase y esta muy alegre de compartir con todos nosotros la clase.
Que es un JUICIO? • Una declaración • No son verdaderos o falsos. Dejan siempre abierta la posibilidad a discrepar • Son validos o inválidos. Su validez depende de la AUTORIDAD que la comunidad confiera a otros para emitirlos • El grado de efectividad de los juicios esta directamente relacionado con la autoridad formal o informal que hemos conferido a la persona que los hace. • Temas relacionados: – Ontología del lenguaje – Postulados básicos de la OL
Fundamentación de los JUICIOS • Cada vez que emitimos un juicio asumimos el compromiso social de fundarlo, es decir, mostrar las observaciones pasadas en las que se asienta nuestro juicio y la inquietud o interés por el futuro que lo motiva
Auditoria Informática • Revisión, análisis y evaluación independiente y objetiva de un entorno informático – Hardware – Software • Base • Aplicación – Comunicaciones – Procedimientos-Gestión de recursos informáticos
Tener en cuenta… • Los objetivos fijados • Los planes, programas y presupuestos • Controles, leyes aplicables, entre otros….
Tipos de Auditoría • Evaluación del sistema de control interno • De cumplimiento de políticas, estándares y procedimientos • De seguridad: física y lógica • De operaciones/gestión • Interna/Externa
Fuentes • Todo tipo de fuente referido a: – Hardware – Software – Instalaciones – Procedimientos
Check List • Revisión del Hardware – - – - • Revisión del Software – - – - • Instalaciones – - – - • Procedimientos – - – -
Principios fundamentales de la auditoria en una computadora • AUTOMATISMO del computador – Programa - Algoritmo – No al comportamiento probabilístico • DETERMINISMO del algoritmo – Ante un conjunto de datos de entrada, siempre se obtengas una misma salida
El Control • Interno – Creación de relaciones adecuadas entre las diversas funciones del negocio y los resultados finales de operación. • Interno Electrónico – Comportamiento de los circuitos electrónicos. Ej. Transmisión de datos • Interno Informático – Verifica el cumplimiento de los procedimientos, estándares y normas fijadas por la dirección de informática, como así también los requerimientos legales
La seguridad de los sistemas de informaciónLa protección de los activos informáticos
Seguridad, algunos conceptos • Seguridad – Protección contra perdidas – Es un sistema seguro, impenetrable? • Grados de seguridad Vs costo – Naturaleza de las amenazas – contingencias • A que apuntan las medidas de seguridad? – Integridad, confidencialidad, privacidad y continuidad
Integridad • Completa y correcta • Datos libres de errores – Intencionales como no intencionales • No contradictorios!!!
Confidencialidad • Proteger la información contra la divulgación indebida
Privacidad • Tiene que ver con la persona • Similar a intimidad • Información que un individuo no desea tenga difusión generalizada • Que sucede cuando el derecho de los individuos se contraponen con las necesidades de las organizaciones privadas o publicas?
Continuidad • Seguir Operando!!!!
Sensitividad • Atributo que determina que la información deberá ser protegida
Identificación • Declaración de ser una persona o programa – Numero ID – T Magnética – Registro de Voz – Etc
Autenticar • Es una prueba de identidad • Debe ser secreto • Ejemplos....LAS PASSWORDS
Autorización • Función del sistema de control • Es el QUIEN DEBE HACER QUE... • Debe ser especifica, no general
Contingencia • Es una amenaza al conjunto de los peligros a los que están expuestos los recursos informáticos de una organización • Recursos: – Personas – Datos – Hardware – Software – Instalaciones – .....
Categorías de Contingencias Ambientales • Ambientales naturales – Inundación, incendio, filtraciones, alta temperatura, terremoto, derrumbe explosión, corte de energía, disturbios, etc • Ambientales operativas – Caída o falla del procesador, periféricos, comunicaciones, software de base/aplicación, AC, Sistema eléctrico, etc
Categorías de contingencias Humanas • Humanas no intencionales – Errores y/o omisiones en el ingreso de datos, errores en backup, falta de documentación actualizada, en daños accidentales... • Humanas intencionales – Fraude, daño intencional, terrorismo, virus, hurto, robo, etc.
Cuales son los desastres mas comunes que pueden afectar los sistemas? • Virus • Fuego • Inundaciones • Cortes de electricidad • Interferencias eléctricas • Fallas mecánicas • Sabotaje • Empleados descontentos • Uso indebido de recursos
Vulnerabilidad • Debilidad que presenta una organización frente a las contingencias que tienen lugar en el entrono del procesamiento de datos. • Falta de protección ante una contingencia • Se da ante la falta de: – Software de protección – Responsables a cargo de la SI – Planes de seguridad, contingencias – Inadecuada/o: • Selección y capacitación • Diseño de sistemas, programación, operación • Backups • Auditorias I/E
Consecuencia • Daño o perdida potencial ante la ocurrencia de una contingencia • Algunas consecuencias inmediatas: – Imposibilidad de procesar – Perdida de archivos y registros – Lectura indebida • Otras consecuencias mediatas: – Legales – Económicas/financieras – Incidencia en otros sistemas
Tipos de Medidas de seguridad • Preventivas – Limitan la posibilidad de que se concreten las contingencias • Detectivas – Limitan los efectos de las contingencias presentadas • Correctivas – Orientadas a recuperar la capacidad de operación normal
Que tipo de controles pueden efectuarse para aumentar la seguridad? • Acceso Físico • Acceso Lógico
Métodos de control de accesos • Contraseñas – Características, fuerzas y debilidades • Otros medios de autenticación – Impresiones digitales – RPV – Medidas de geometría de mas manos – Iris del ojo
Que es una pista de auditoria? • Huella o registro generado automáticamente • Orientado a un análisis posterior • Permite reconstruir el procesamiento • Es un CAMINO HACIA ATRÁS...
Backups y recuperación • Hardware • Software • Algunas preguntas frecuentes – De que dependen? – Como se manifiestan? – Donde se realizan? – Cada cuanto deben realizarse?
Que es y como contribuye la criptografía a la SI? • Ininteligibilidad a usuarios no autorizados • Métodos de encriptación – Valiosos para la protección de datos y redes – Usan algoritmos matemáticos en función de cadenas validas o passwords
Delitos informáticos • Delito de computación – Usa una computadora • Objeto del delito • Escena del delito • Instrumento del delito • Delito en Internet – Acceso, uso, modificación y destrucción no autorizados de Hard/Soft, datos y recursos de redes – Distribución no autorizada de información – Copia no autorizada de software – ....
Perfil del delincuente informático • En base a estudios, su perfil es – Joven • Mayoría de técnicos jóvenes • Ausencia de responsabilidad profesional – Mejores y mas brillantes empleados – Ocupan puestos de confianza – No se encuentran solos. Cuentan con ayuda – Aprovecha el abandono de las normas o estándares – Síndrome de Robin Hood – Juega con el desafío. Reto intelectual
Planes principales de un programa de administración de la seguridad de sistemas • Seguridad • Contingencias ES MUY IMPORTANTE EL APOYO DE LA DIRECCION SUPERIOR, SIN CUYO RESPALDO EXPLICITO Y CONTINUO TALES PLANES NO PODRAN SER CUMPLIDOS CON EXITO
Plan de seguridad - PS • Conjunto de medidas preventivas, detectivas y correctivas destinadas a enfrentar los riesgos a los que están expuestos los activos informáticos de una organización • Su objetivo esencial es proteger los activos informáticos en cuanto a integridad, confidencialidad, privacidad y continuidad
Plan de contingencias - PC • Conjunto de procedimientos que luego de producido un desastre, pueden ser rápidamente ejecutados para restaurar las operaciones normales con máxima rapidez y mínimo impacto • Es un capitulo del plan de seguridad – Medidas correctivas • Objetivos esenciales – Minimizar el impacto – Promover una rápida recuperación de la operatividad
Matriz de Análisis de Riesgos • Como es su estructura? • Qué información podemos extraer de ella?
Gracia s

Recomendados

Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...
Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...
Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...Eduardo Chavarro
 
Problemas
ProblemasProblemas
Problemaspaty.alavez
 
Tics
TicsTics
TicsDIANURIS
 
Aportaciones y limitaciones de las tic en la
Aportaciones y limitaciones de las tic en laAportaciones y limitaciones de las tic en la
Aportaciones y limitaciones de las tic en laemmunozb01
 
Presentación a la informática básica SAFA REYES - Alejandro Falcón Carrión
Presentación a la informática básica SAFA REYES - Alejandro Falcón CarriónPresentación a la informática básica SAFA REYES - Alejandro Falcón Carrión
Presentación a la informática básica SAFA REYES - Alejandro Falcón CarriónAlejandroFC98
 
Las TIC´s examen
Las TIC´s examenLas TIC´s examen
Las TIC´s examenb2btic_dbuenoc
 
Los métodos Agiles en la Infraestructura de TI
Los métodos Agiles en la Infraestructura de TILos métodos Agiles en la Infraestructura de TI
Los métodos Agiles en la Infraestructura de TISoftware Guru
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 

Recomendados

Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...
Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...
Presentación IX Congreso Internacional de Electrónica, Control y Telecomunica...Eduardo Chavarro
 
Problemas
ProblemasProblemas
Problemaspaty.alavez
 
Tics
TicsTics
TicsDIANURIS
 
Aportaciones y limitaciones de las tic en la
Aportaciones y limitaciones de las tic en laAportaciones y limitaciones de las tic en la
Aportaciones y limitaciones de las tic en laemmunozb01
 
Presentación a la informática básica SAFA REYES - Alejandro Falcón Carrión
Presentación a la informática básica SAFA REYES - Alejandro Falcón CarriónPresentación a la informática básica SAFA REYES - Alejandro Falcón Carrión
Presentación a la informática básica SAFA REYES - Alejandro Falcón CarriónAlejandroFC98
 
Las TIC´s examen
Las TIC´s examenLas TIC´s examen
Las TIC´s examenb2btic_dbuenoc
 
Los métodos Agiles en la Infraestructura de TI
Los métodos Agiles en la Infraestructura de TILos métodos Agiles en la Infraestructura de TI
Los métodos Agiles en la Infraestructura de TISoftware Guru
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
2013 BIOMETRICS FOR FREE
2013 BIOMETRICS FOR FREE2013 BIOMETRICS FOR FREE
2013 BIOMETRICS FOR FREEMarcos De Pedro
 
P10_E2_Ángel Benavente y Juan Alfonso
P10_E2_Ángel Benavente y Juan AlfonsoP10_E2_Ángel Benavente y Juan Alfonso
P10_E2_Ángel Benavente y Juan AlfonsoAngelBenavente4
 
S2 cdsi1
S2 cdsi1S2 cdsi1
S2 cdsi1Luis Fernando Aguas Bucheli
 
S2 cdsi1-1
S2 cdsi1-1S2 cdsi1-1
S2 cdsi1-1Luis Fernando Aguas Bucheli
 
Seguridad Informática pdf
Seguridad Informática pdfSeguridad Informática pdf
Seguridad Informática pdfBryanArm21
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaElizabethG12
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadJosé Antonio Sandoval Acosta
 
Riesgos de la información electrónica presentacion
Riesgos de la información electrónica presentacionRiesgos de la información electrónica presentacion
Riesgos de la información electrónica presentacionCamila Pacheco
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0OttoLpezAguilar
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptxJhon887166
 
Jose muñoz
Jose muñozJose muñoz
Jose muñozAngelica Daza
 
Tarea de-maria
Tarea de-mariaTarea de-maria
Tarea de-mariakinverly vasquez matey
 
Tarea de-maria
Tarea de-mariaTarea de-maria
Tarea de-mariakinverly vasquez matey
 
Tarea de-maria
Tarea de-mariaTarea de-maria
Tarea de-mariakinverly vasquez matey
 
Informatica
InformaticaInformatica
InformaticaRoberth Lopez
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajhon_f
 
Mi presentacion sobre la Seguridad informática
Mi presentacion sobre la Seguridad informática Mi presentacion sobre la Seguridad informática
Mi presentacion sobre la Seguridad informática Elizabeth González
 

Más contenido relacionado

Similar a Auditoría informática y seguridad de sistemas

Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
2013 BIOMETRICS FOR FREE
2013 BIOMETRICS FOR FREE2013 BIOMETRICS FOR FREE
2013 BIOMETRICS FOR FREEMarcos De Pedro
 
P10_E2_Ángel Benavente y Juan Alfonso
P10_E2_Ángel Benavente y Juan AlfonsoP10_E2_Ángel Benavente y Juan Alfonso
P10_E2_Ángel Benavente y Juan AlfonsoAngelBenavente4
 
Seguridad Informática pdf
Seguridad Informática pdfSeguridad Informática pdf
Seguridad Informática pdfBryanArm21
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaElizabethG12
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
Riesgos de la información electrónica presentacion
Riesgos de la información electrónica presentacionRiesgos de la información electrónica presentacion
Riesgos de la información electrónica presentacionCamila Pacheco
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0OttoLpezAguilar
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptxJhon887166
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajhon_f
 
Mi presentacion sobre la Seguridad informática
Mi presentacion sobre la Seguridad informática Mi presentacion sobre la Seguridad informática
Mi presentacion sobre la Seguridad informática Elizabeth González
 

Similar a Auditoría informática y seguridad de sistemas (20)

Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
2013 BIOMETRICS FOR FREE
2013 BIOMETRICS FOR FREE2013 BIOMETRICS FOR FREE
2013 BIOMETRICS FOR FREE
 
P10_E2_Ángel Benavente y Juan Alfonso
P10_E2_Ángel Benavente y Juan AlfonsoP10_E2_Ángel Benavente y Juan Alfonso
P10_E2_Ángel Benavente y Juan Alfonso
 
S2 cdsi1
S2 cdsi1S2 cdsi1
S2 cdsi1
 
S2 cdsi1-1
S2 cdsi1-1S2 cdsi1-1
S2 cdsi1-1
 
Seguridad Informática pdf
Seguridad Informática pdfSeguridad Informática pdf
Seguridad Informática pdf
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridad
 
Riesgos de la información electrónica presentacion
Riesgos de la información electrónica presentacionRiesgos de la información electrónica presentacion
Riesgos de la información electrónica presentacion
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx
 
Jose muñoz
Jose muñozJose muñoz
Jose muñoz
 
Tarea de-maria
Tarea de-mariaTarea de-maria
Tarea de-maria
 
Tarea de-maria
Tarea de-mariaTarea de-maria
Tarea de-maria
 
Tarea de-maria
Tarea de-mariaTarea de-maria
Tarea de-maria
 
Informatica
InformaticaInformatica
Informatica
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Mi presentacion sobre la Seguridad informática
Mi presentacion sobre la Seguridad informática Mi presentacion sobre la Seguridad informática
Mi presentacion sobre la Seguridad informática
 

Auditoría informática y seguridad de sistemas

  • 1. AUDITORIA y SEGURIDAD INFORMÁTICA Informática Básica Aplicada UNLaR Ciclo 2008 Prof. Marcelo Martínez
  • 2. Porqué? • La vulnerabilidad acarreada por los computadores • Impacto de los computadores sobre las tareas de auditoría • La adecuación de las normas de auditoría a un entorno electrónico
  • 3. Auditar • Ejercer control sobre una determinada acción • Donde auditamos a menudo? – A nivel personal – A nivel laboral – A nivel académico
  • 4. Control • Actividad/es o acción/es realizadas por uno o varios elementos de un sistema, que tienen como finalidad la prevención, detección y corrección de errores que afecten la homeostasis del sistema I/E Proceso C O/S
  • 5. Etimología – AUDITORIUS • Latín: Auditor, que tiene la virtud de oir
  • 6. Diccionario – AUDITOR • Revisor de cuentas colegiado
  • 7. Auditoria • Es el examen de la información por TERCERAS partes, distintas de quienes la generan y quienes la utilizan • Se produce con la intención de establecer su suficiencia y adecuación a las normas.- Es necesario poder medirlas, necesitamos un patrón • Produce informes como resultado del examen critico • Su objetivo es: evaluar la eficiencia y eficacia, determinar cursos de acción alternativos y el logro de los objetivos propuestos • MEJORA CONTINUA!!!!
  • 8. Auditoria según IMC • Agrega a la definición anterior. – La auditoria requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos IMC= Instituto Mexicano de Contabilidad
  • 9. Pregunta? • Alberto es contador • Alberto es responsable – Ambos son juicios?
  • 10. NO • La primera es una afirmación, observación de lo que es verdadero para nosotros. Nos permiten describir al manera en que vemos las cosas • La segunda es un JUICIO, un tipo especial de DECLARACION. Es una apreciación, opinión o interpretación NUESTRA de lo que observamos.
  • 11. Caso de estudio …. Virginia, tiene 30 años, estudió en Córdoba y es muy agradable como ser humano. Actualmente esta casada, tiene 3 hijos y su capacidad profesional asombra a todos sus colegas. Vive en La Rioja y su casa es muy linda. Hoy nos acompaña en esta clase y esta muy alegre de compartir con todos nosotros la clase.
  • 12. Que es un JUICIO? • Una declaración • No son verdaderos o falsos. Dejan siempre abierta la posibilidad a discrepar • Son validos o inválidos. Su validez depende de la AUTORIDAD que la comunidad confiera a otros para emitirlos • El grado de efectividad de los juicios esta directamente relacionado con la autoridad formal o informal que hemos conferido a la persona que los hace. • Temas relacionados: – Ontología del lenguaje – Postulados básicos de la OL
  • 13. Fundamentación de los JUICIOS • Cada vez que emitimos un juicio asumimos el compromiso social de fundarlo, es decir, mostrar las observaciones pasadas en las que se asienta nuestro juicio y la inquietud o interés por el futuro que lo motiva
  • 14. Auditoria Informática • Revisión, análisis y evaluación independiente y objetiva de un entorno informático – Hardware – Software • Base • Aplicación – Comunicaciones – Procedimientos-Gestión de recursos informáticos
  • 15. Tener en cuenta… • Los objetivos fijados • Los planes, programas y presupuestos • Controles, leyes aplicables, entre otros….
  • 16. Tipos de Auditoría • Evaluación del sistema de control interno • De cumplimiento de políticas, estándares y procedimientos • De seguridad: física y lógica • De operaciones/gestión • Interna/Externa
  • 17. Fuentes • Todo tipo de fuente referido a: – Hardware – Software – Instalaciones – Procedimientos
  • 18. Check List • Revisión del Hardware – - – - • Revisión del Software – - – - • Instalaciones – - – - • Procedimientos – - – -
  • 19. Principios fundamentales de la auditoria en una computadora • AUTOMATISMO del computador – Programa - Algoritmo – No al comportamiento probabilístico • DETERMINISMO del algoritmo – Ante un conjunto de datos de entrada, siempre se obtengas una misma salida
  • 20. El Control • Interno – Creación de relaciones adecuadas entre las diversas funciones del negocio y los resultados finales de operación. • Interno Electrónico – Comportamiento de los circuitos electrónicos. Ej. Transmisión de datos • Interno Informático – Verifica el cumplimiento de los procedimientos, estándares y normas fijadas por la dirección de informática, como así también los requerimientos legales
  • 21. La seguridad de los sistemas de informaciónLa protección de los activos informáticos
  • 22. Seguridad, algunos conceptos • Seguridad – Protección contra perdidas – Es un sistema seguro, impenetrable? • Grados de seguridad Vs costo – Naturaleza de las amenazas – contingencias • A que apuntan las medidas de seguridad? – Integridad, confidencialidad, privacidad y continuidad
  • 23. Integridad • Completa y correcta • Datos libres de errores – Intencionales como no intencionales • No contradictorios!!!
  • 24. Confidencialidad • Proteger la información contra la divulgación indebida
  • 25. Privacidad • Tiene que ver con la persona • Similar a intimidad • Información que un individuo no desea tenga difusión generalizada • Que sucede cuando el derecho de los individuos se contraponen con las necesidades de las organizaciones privadas o publicas?
  • 27. Sensitividad • Atributo que determina que la información deberá ser protegida
  • 28. Identificación • Declaración de ser una persona o programa – Numero ID – T Magnética – Registro de Voz – Etc
  • 29. Autenticar • Es una prueba de identidad • Debe ser secreto • Ejemplos....LAS PASSWORDS
  • 30. Autorización • Función del sistema de control • Es el QUIEN DEBE HACER QUE... • Debe ser especifica, no general
  • 31. Contingencia • Es una amenaza al conjunto de los peligros a los que están expuestos los recursos informáticos de una organización • Recursos: – Personas – Datos – Hardware – Software – Instalaciones – .....
  • 32. Categorías de Contingencias Ambientales • Ambientales naturales – Inundación, incendio, filtraciones, alta temperatura, terremoto, derrumbe explosión, corte de energía, disturbios, etc • Ambientales operativas – Caída o falla del procesador, periféricos, comunicaciones, software de base/aplicación, AC, Sistema eléctrico, etc
  • 33. Categorías de contingencias Humanas • Humanas no intencionales – Errores y/o omisiones en el ingreso de datos, errores en backup, falta de documentación actualizada, en daños accidentales... • Humanas intencionales – Fraude, daño intencional, terrorismo, virus, hurto, robo, etc.
  • 34. Cuales son los desastres mas comunes que pueden afectar los sistemas? • Virus • Fuego • Inundaciones • Cortes de electricidad • Interferencias eléctricas • Fallas mecánicas • Sabotaje • Empleados descontentos • Uso indebido de recursos
  • 35. Vulnerabilidad • Debilidad que presenta una organización frente a las contingencias que tienen lugar en el entrono del procesamiento de datos. • Falta de protección ante una contingencia • Se da ante la falta de: – Software de protección – Responsables a cargo de la SI – Planes de seguridad, contingencias – Inadecuada/o: • Selección y capacitación • Diseño de sistemas, programación, operación • Backups • Auditorias I/E
  • 36. Consecuencia • Daño o perdida potencial ante la ocurrencia de una contingencia • Algunas consecuencias inmediatas: – Imposibilidad de procesar – Perdida de archivos y registros – Lectura indebida • Otras consecuencias mediatas: – Legales – Económicas/financieras – Incidencia en otros sistemas
  • 37. Tipos de Medidas de seguridad • Preventivas – Limitan la posibilidad de que se concreten las contingencias • Detectivas – Limitan los efectos de las contingencias presentadas • Correctivas – Orientadas a recuperar la capacidad de operación normal
  • 38. Que tipo de controles pueden efectuarse para aumentar la seguridad? • Acceso Físico • Acceso Lógico
  • 39. Métodos de control de accesos • Contraseñas – Características, fuerzas y debilidades • Otros medios de autenticación – Impresiones digitales – RPV – Medidas de geometría de mas manos – Iris del ojo
  • 40. Que es una pista de auditoria? • Huella o registro generado automáticamente • Orientado a un análisis posterior • Permite reconstruir el procesamiento • Es un CAMINO HACIA ATRÁS...
  • 41. Backups y recuperación • Hardware • Software • Algunas preguntas frecuentes – De que dependen? – Como se manifiestan? – Donde se realizan? – Cada cuanto deben realizarse?
  • 42. Que es y como contribuye la criptografía a la SI? • Ininteligibilidad a usuarios no autorizados • Métodos de encriptación – Valiosos para la protección de datos y redes – Usan algoritmos matemáticos en función de cadenas validas o passwords
  • 43. Delitos informáticos • Delito de computación – Usa una computadora • Objeto del delito • Escena del delito • Instrumento del delito • Delito en Internet – Acceso, uso, modificación y destrucción no autorizados de Hard/Soft, datos y recursos de redes – Distribución no autorizada de información – Copia no autorizada de software – ....
  • 44. Perfil del delincuente informático • En base a estudios, su perfil es – Joven • Mayoría de técnicos jóvenes • Ausencia de responsabilidad profesional – Mejores y mas brillantes empleados – Ocupan puestos de confianza – No se encuentran solos. Cuentan con ayuda – Aprovecha el abandono de las normas o estándares – Síndrome de Robin Hood – Juega con el desafío. Reto intelectual
  • 45. Planes principales de un programa de administración de la seguridad de sistemas • Seguridad • Contingencias ES MUY IMPORTANTE EL APOYO DE LA DIRECCION SUPERIOR, SIN CUYO RESPALDO EXPLICITO Y CONTINUO TALES PLANES NO PODRAN SER CUMPLIDOS CON EXITO
  • 46. Plan de seguridad - PS • Conjunto de medidas preventivas, detectivas y correctivas destinadas a enfrentar los riesgos a los que están expuestos los activos informáticos de una organización • Su objetivo esencial es proteger los activos informáticos en cuanto a integridad, confidencialidad, privacidad y continuidad
  • 47. Plan de contingencias - PC • Conjunto de procedimientos que luego de producido un desastre, pueden ser rápidamente ejecutados para restaurar las operaciones normales con máxima rapidez y mínimo impacto • Es un capitulo del plan de seguridad – Medidas correctivas • Objetivos esenciales – Minimizar el impacto – Promover una rápida recuperación de la operatividad
  • 48. Matriz de Análisis de Riesgos • Como es su estructura? • Qué información podemos extraer de ella?