Este documento trata sobre auditoría y seguridad informática. Explica que la auditoría es el examen de la información por terceras partes para establecer su suficiencia y adecuación a las normas, con el objetivo de evaluar la eficiencia, eficacia y logro de objetivos. También cubre conceptos clave de seguridad como integridad, confidencialidad, privacidad, continuidad, vulnerabilidad, contingencia y los planes de seguridad e informáticos para prevenir y recuperarse de incidentes.

1. AUDITORIA
y SEGURIDAD
INFORMÁTICA
Informática Básica Aplicada
UNLaR
Ciclo 2008
Prof. Marcelo Martínez

2. Porqué?
• La vulnerabilidad acarreada
por los computadores
• Impacto de los computadores
sobre las tareas de auditoría
• La adecuación de las normas
de auditoría a un entorno
electrónico

3. Auditar
• Ejercer control sobre una
determinada acción
• Donde auditamos a menudo?
– A nivel personal
– A nivel laboral
– A nivel académico

4. Control
• Actividad/es o acción/es
realizadas por uno o varios
elementos de un sistema, que
tienen como finalidad la
prevención, detección y
corrección de errores que
afecten la homeostasis del
sistema
I/E Proceso C O/S

5. Etimología – AUDITORIUS
• Latín: Auditor, que tiene la
virtud de oir

6. Diccionario – AUDITOR
• Revisor de cuentas colegiado

7. Auditoria
• Es el examen de la información por
TERCERAS partes, distintas de quienes la
generan y quienes la utilizan
• Se produce con la intención de establecer su
suficiencia y adecuación a las normas.- Es
necesario poder medirlas, necesitamos un patrón
• Produce informes como resultado del
examen critico
• Su objetivo es: evaluar la eficiencia y
eficacia, determinar cursos de acción
alternativos y el logro de los objetivos
propuestos
• MEJORA CONTINUA!!!!

8. Auditoria según IMC
• Agrega a la definición
anterior.
– La auditoria requiere el
ejercicio de un juicio
profesional, sólido y maduro,
para juzgar los procedimientos
que deben seguirse y estimar
los resultados obtenidos
IMC= Instituto Mexicano de Contabilidad

9. Pregunta?
• Alberto es contador
• Alberto es responsable
– Ambos son juicios?

10. NO
• La primera es una afirmación,
observación de lo que es
verdadero para nosotros. Nos
permiten describir al manera en
que vemos las cosas
• La segunda es un JUICIO, un tipo
especial de DECLARACION. Es
una apreciación, opinión o
interpretación NUESTRA de lo
que observamos.

11. Caso de estudio ….
Virginia, tiene 30 años, estudió en
Córdoba y es muy agradable como
ser humano.
Actualmente esta casada, tiene 3 hijos
y su capacidad profesional asombra
a todos sus colegas.
Vive en La Rioja y su casa es muy
linda.
Hoy nos acompaña en esta clase y esta
muy alegre de compartir con todos
nosotros la clase.

12. Que es un JUICIO?
• Una declaración
• No son verdaderos o falsos. Dejan siempre
abierta la posibilidad a discrepar
• Son validos o inválidos. Su validez depende de
la AUTORIDAD que la comunidad confiera a
otros para emitirlos
• El grado de efectividad de los juicios esta
directamente relacionado con la autoridad
formal o informal que hemos conferido a la
persona que los hace.
• Temas relacionados:
– Ontología del lenguaje
– Postulados básicos de la OL

13. Fundamentación de los JUICIOS
• Cada vez que emitimos un
juicio asumimos el
compromiso social de
fundarlo, es decir, mostrar las
observaciones pasadas en las
que se asienta nuestro juicio y
la inquietud o interés por el
futuro que lo motiva

14. Auditoria Informática
• Revisión, análisis y evaluación
independiente y objetiva de un
entorno informático
– Hardware
– Software
• Base
• Aplicación
– Comunicaciones
– Procedimientos-Gestión de recursos
informáticos

15. Tener en cuenta…
• Los objetivos fijados
• Los planes, programas y
presupuestos
• Controles, leyes aplicables,
entre otros….

16. Tipos de Auditoría
• Evaluación del sistema de
control interno
• De cumplimiento de políticas,
estándares y procedimientos
• De seguridad: física y lógica
• De operaciones/gestión
• Interna/Externa

17. Fuentes
• Todo tipo de fuente referido a:
– Hardware
– Software
– Instalaciones
– Procedimientos

18. Check List
• Revisión del Hardware
– -
– -
• Revisión del Software
– -
– -
• Instalaciones
– -
– -
• Procedimientos
– -
– -

19. Principios fundamentales de la
auditoria en una computadora
• AUTOMATISMO del
computador
– Programa - Algoritmo
– No al comportamiento
probabilístico
• DETERMINISMO del
algoritmo
– Ante un conjunto de datos de
entrada, siempre se obtengas una
misma salida

20. El Control
• Interno
– Creación de relaciones adecuadas entre las
diversas funciones del negocio y los
resultados finales de operación.
• Interno Electrónico
– Comportamiento de los circuitos
electrónicos. Ej. Transmisión de datos
• Interno Informático
– Verifica el cumplimiento de los
procedimientos, estándares y normas fijadas
por la dirección de informática, como así
también los requerimientos legales

21. La seguridad de los
sistemas de informaciónLa protección de los activos informáticos

22. Seguridad, algunos
conceptos
• Seguridad
– Protección contra perdidas
– Es un sistema seguro, impenetrable?
• Grados de seguridad Vs costo
– Naturaleza de las amenazas –
contingencias
• A que apuntan las medidas de
seguridad?
– Integridad, confidencialidad,
privacidad y continuidad

23. Integridad
• Completa y correcta
• Datos libres de errores
– Intencionales como no
intencionales
• No contradictorios!!!

24. Confidencialidad
• Proteger la información contra
la divulgación indebida

25. Privacidad
• Tiene que ver con la persona
• Similar a intimidad
• Información que un individuo no
desea tenga difusión generalizada
• Que sucede cuando el derecho de
los individuos se contraponen con
las necesidades de las
organizaciones privadas o publicas?

26. Continuidad
• Seguir Operando!!!!

27. Sensitividad
• Atributo que determina que la
información deberá ser
protegida

28. Identificación
• Declaración de ser una persona
o programa
– Numero ID
– T Magnética
– Registro de Voz
– Etc

29. Autenticar
• Es una prueba de identidad
• Debe ser secreto
• Ejemplos....LAS PASSWORDS

30. Autorización
• Función del sistema de control
• Es el QUIEN DEBE HACER
QUE...
• Debe ser especifica, no general

31. Contingencia
• Es una amenaza al conjunto de los
peligros a los que están expuestos
los recursos informáticos de una
organización
• Recursos:
– Personas
– Datos
– Hardware
– Software
– Instalaciones
– .....

32. Categorías de Contingencias
Ambientales
• Ambientales naturales
– Inundación, incendio,
filtraciones, alta temperatura,
terremoto, derrumbe explosión,
corte de energía, disturbios, etc
• Ambientales operativas
– Caída o falla del procesador,
periféricos, comunicaciones,
software de base/aplicación, AC,
Sistema eléctrico, etc

33. Categorías de contingencias
Humanas
• Humanas no intencionales
– Errores y/o omisiones en el
ingreso de datos, errores en
backup, falta de documentación
actualizada, en daños
accidentales...
• Humanas intencionales
– Fraude, daño intencional,
terrorismo, virus, hurto, robo, etc.

34. Cuales son los desastres mas comunes
que pueden afectar los sistemas?
• Virus
• Fuego
• Inundaciones
• Cortes de electricidad
• Interferencias eléctricas
• Fallas mecánicas
• Sabotaje
• Empleados descontentos
• Uso indebido de recursos

35. Vulnerabilidad
• Debilidad que presenta una organización
frente a las contingencias que tienen lugar
en el entrono del procesamiento de datos.
• Falta de protección ante una contingencia
• Se da ante la falta de:
– Software de protección
– Responsables a cargo de la SI
– Planes de seguridad, contingencias
– Inadecuada/o:
• Selección y capacitación
• Diseño de sistemas, programación, operación
• Backups
• Auditorias I/E

36. Consecuencia
• Daño o perdida potencial ante la
ocurrencia de una contingencia
• Algunas consecuencias inmediatas:
– Imposibilidad de procesar
– Perdida de archivos y registros
– Lectura indebida
• Otras consecuencias mediatas:
– Legales
– Económicas/financieras
– Incidencia en otros sistemas

37. Tipos de Medidas de seguridad
• Preventivas
– Limitan la posibilidad de que se
concreten las contingencias
• Detectivas
– Limitan los efectos de las
contingencias presentadas
• Correctivas
– Orientadas a recuperar la
capacidad de operación normal

38. Que tipo de controles pueden
efectuarse para aumentar la
seguridad?
• Acceso Físico
• Acceso Lógico

39. Métodos de control de accesos
• Contraseñas
– Características, fuerzas y
debilidades
• Otros medios de autenticación
– Impresiones digitales
– RPV
– Medidas de geometría de mas
manos
– Iris del ojo

40. Que es una pista de
auditoria?
• Huella o registro generado
automáticamente
• Orientado a un análisis
posterior
• Permite reconstruir el
procesamiento
• Es un CAMINO HACIA
ATRÁS...

41. Backups y recuperación
• Hardware
• Software
• Algunas preguntas frecuentes
– De que dependen?
– Como se manifiestan?
– Donde se realizan?
– Cada cuanto deben realizarse?

42. Que es y como contribuye la
criptografía a la SI?
• Ininteligibilidad a usuarios no
autorizados
• Métodos de encriptación
– Valiosos para la protección de
datos y redes
– Usan algoritmos matemáticos en
función de cadenas validas o
passwords

43. Delitos informáticos
• Delito de computación
– Usa una computadora
• Objeto del delito
• Escena del delito
• Instrumento del delito
• Delito en Internet
– Acceso, uso, modificación y destrucción
no autorizados de Hard/Soft, datos y
recursos de redes
– Distribución no autorizada de
información
– Copia no autorizada de software
– ....

44. Perfil del delincuente
informático
• En base a estudios, su perfil es
– Joven
• Mayoría de técnicos jóvenes
• Ausencia de responsabilidad profesional
– Mejores y mas brillantes empleados
– Ocupan puestos de confianza
– No se encuentran solos. Cuentan con
ayuda
– Aprovecha el abandono de las normas o
estándares
– Síndrome de Robin Hood
– Juega con el desafío. Reto intelectual

45. Planes principales de un
programa de administración
de la seguridad de sistemas
• Seguridad
• Contingencias
ES MUY IMPORTANTE EL APOYO DE
LA DIRECCION SUPERIOR, SIN CUYO
RESPALDO EXPLICITO Y CONTINUO
TALES PLANES NO PODRAN SER
CUMPLIDOS CON EXITO

46. Plan de seguridad - PS
• Conjunto de medidas preventivas,
detectivas y correctivas destinadas a
enfrentar los riesgos a los que están
expuestos los activos informáticos
de una organización
• Su objetivo esencial es proteger los
activos informáticos en cuanto a
integridad, confidencialidad,
privacidad y continuidad

47. Plan de contingencias - PC
• Conjunto de procedimientos que luego de
producido un desastre, pueden ser
rápidamente ejecutados para restaurar las
operaciones normales con máxima rapidez
y mínimo impacto
• Es un capitulo del plan de seguridad –
Medidas correctivas
• Objetivos esenciales
– Minimizar el impacto
– Promover una rápida recuperación de la
operatividad

48. Matriz de Análisis de
Riesgos
• Como es su estructura?
• Qué información podemos
extraer de ella?

49. Gracia
s