AUDITORIA y SEGURIDAD INFORMÁTICA

Presentación del tema: "AUDITORIA y SEGURIDAD INFORMÁTICA"— Transcripción de la presentación:

1 AUDITORIA y SEGURIDAD INFORMÁTICA
Informática Básica Aplicada UNLaR Ciclo 2008 Prof. Marcelo Martínez

2 Porqué? La vulnerabilidad acarreada por los computadores
Impacto de los computadores sobre las tareas de auditoría La adecuación de las normas de auditoría a un entorno electrónico

3 Auditar Ejercer control sobre una determinada acción
Donde auditamos a menudo? A nivel personal A nivel laboral A nivel académico

4 Control Actividad/es o acción/es realizadas por uno o varios elementos de un sistema, que tienen como finalidad la prevención, detección y corrección de errores que afecten la homeostasis del sistema I/E Proceso C O/S

5 Etimología – AUDITORIUS
Latín: Auditor, que tiene la virtud de oir

6 Diccionario – AUDITOR Revisor de cuentas colegiado

7 Auditoria Es el examen de la información por TERCERAS partes, distintas de quienes la generan y quienes la utilizan Se produce con la intención de establecer su suficiencia y adecuación a las normas.- Es necesario poder medirlas, necesitamos un patrón Produce informes como resultado del examen critico Su objetivo es: evaluar la eficiencia y eficacia, determinar cursos de acción alternativos y el logro de los objetivos propuestos MEJORA CONTINUA!!!!

8 Agrega a la definición anterior.
Auditoria según IMC Agrega a la definición anterior. La auditoria requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos IMC= Instituto Mexicano de Contabilidad

9 ¿? Pregunta? Alberto es contador Alberto es responsable
Ambos son juicios? ¿?

10 NO La primera es una afirmación, observación de lo que es verdadero para nosotros. Nos permiten describir al manera en que vemos las cosas La segunda es un JUICIO, un tipo especial de DECLARACION. Es una apreciación, opinión o interpretación NUESTRA de lo que observamos.

11 Caso de estudio …. Virginia, tiene 30 años, estudió en Córdoba y es muy agradable como ser humano. Actualmente esta casada, tiene 3 hijos y su capacidad profesional asombra a todos sus colegas. Vive en La Rioja y su casa es muy linda. Hoy nos acompaña en esta clase y esta muy alegre de compartir con todos nosotros la clase.

12 Que es un JUICIO? Una declaración
No son verdaderos o falsos. Dejan siempre abierta la posibilidad a discrepar Son validos o inválidos. Su validez depende de la AUTORIDAD que la comunidad confiera a otros para emitirlos El grado de efectividad de los juicios esta directamente relacionado con la autoridad formal o informal que hemos conferido a la persona que los hace. Temas relacionados: Ontología del lenguaje Postulados básicos de la OL

13 Fundamentación de los JUICIOS
Cada vez que emitimos un juicio asumimos el compromiso social de fundarlo, es decir, mostrar las observaciones pasadas en las que se asienta nuestro juicio y la inquietud o interés por el futuro que lo motiva

14 Auditoria Informática
Revisión, análisis y evaluación independiente y objetiva de un entorno informático Hardware Software Base Aplicación Comunicaciones Procedimientos-Gestión de recursos informáticos

15 Tener en cuenta… Los objetivos fijados
Los planes, programas y presupuestos Controles, leyes aplicables, entre otros….

16 Tipos de Auditoría Evaluación del sistema de control interno
De cumplimiento de políticas, estándares y procedimientos De seguridad: física y lógica De operaciones/gestión Interna/Externa

17 Fuentes Todo tipo de fuente referido a: Hardware Software
Instalaciones Procedimientos

18 Check List Revisión del Hardware Revisión del Software Instalaciones
- Revisión del Software Instalaciones Procedimientos

19 Principios fundamentales de la auditoria en una computadora
AUTOMATISMO del computador Programa - Algoritmo No al comportamiento probabilístico DETERMINISMO del algoritmo Ante un conjunto de datos de entrada, siempre se obtengas una misma salida

20 El Control Interno Interno Electrónico Interno Informático
Creación de relaciones adecuadas entre las diversas funciones del negocio y los resultados finales de operación. Interno Electrónico Comportamiento de los circuitos electrónicos. Ej. Transmisión de datos Interno Informático Verifica el cumplimiento de los procedimientos, estándares y normas fijadas por la dirección de informática, como así también los requerimientos legales

21 La seguridad de los sistemas de información
La protección de los activos informáticos

22 Seguridad, algunos conceptos
Protección contra perdidas Es un sistema seguro, impenetrable? Grados de seguridad Vs costo Naturaleza de las amenazas – contingencias A que apuntan las medidas de seguridad? Integridad, confidencialidad, privacidad y continuidad

23 A=B B=C A<>C ??? Integridad Completa y correcta
Datos libres de errores Intencionales como no intencionales No contradictorios!!! A=B B=C A<>C ???

24 Confidencialidad Proteger la información contra la divulgación indebida

25 Privacidad Tiene que ver con la persona Similar a intimidad
Información que un individuo no desea tenga difusión generalizada Que sucede cuando el derecho de los individuos se contraponen con las necesidades de las organizaciones privadas o publicas?

26 Continuidad Seguir Operando!!!!

27 Sensitividad Atributo que determina que la información deberá ser protegida

28 Identificación Declaración de ser una persona o programa Numero ID
T Magnética Registro de Voz Etc

29 Autenticar Es una prueba de identidad Debe ser secreto
Ejemplos....LAS PASSWORDS

30 Autorización Función del sistema de control
Es el QUIEN DEBE HACER QUE... Debe ser especifica, no general

31 Contingencia Es una amenaza al conjunto de los peligros a los que están expuestos los recursos informáticos de una organización Recursos: Personas Datos Hardware Software Instalaciones .....

32 Categorías de Contingencias Ambientales
Ambientales naturales Inundación, incendio, filtraciones, alta temperatura, terremoto, derrumbe explosión, corte de energía, disturbios, etc Ambientales operativas Caída o falla del procesador, periféricos, comunicaciones, software de base/aplicación, AC, Sistema eléctrico, etc

33 Categorías de contingencias Humanas
Humanas no intencionales Errores y/o omisiones en el ingreso de datos, errores en backup, falta de documentación actualizada, en daños accidentales... Humanas intencionales Fraude, daño intencional, terrorismo, virus, hurto, robo, etc.

34 Cuales son los desastres mas comunes que pueden afectar los sistemas?
Virus Fuego Inundaciones Cortes de electricidad Interferencias eléctricas Fallas mecánicas Sabotaje Empleados descontentos Uso indebido de recursos

35 Vulnerabilidad Debilidad que presenta una organización frente a las contingencias que tienen lugar en el entrono del procesamiento de datos. Falta de protección ante una contingencia Se da ante la falta de: Software de protección Responsables a cargo de la SI Planes de seguridad, contingencias Inadecuada/o: Selección y capacitación Diseño de sistemas, programación, operación Backups Auditorias I/E

36 Consecuencia Daño o perdida potencial ante la ocurrencia de una contingencia Algunas consecuencias inmediatas: Imposibilidad de procesar Perdida de archivos y registros Lectura indebida Otras consecuencias mediatas: Legales Económicas/financieras Incidencia en otros sistemas

37 Tipos de Medidas de seguridad
Preventivas Limitan la posibilidad de que se concreten las contingencias Detectivas Limitan los efectos de las contingencias presentadas Correctivas Orientadas a recuperar la capacidad de operación normal

38 Que tipo de controles pueden efectuarse para aumentar la seguridad?
Acceso Físico Acceso Lógico

39 Métodos de control de accesos
Contraseñas Características, fuerzas y debilidades Otros medios de autenticación Impresiones digitales RPV Medidas de geometría de mas manos Iris del ojo

40 Que es una pista de auditoria?
Huella o registro generado automáticamente Orientado a un análisis posterior Permite reconstruir el procesamiento Es un CAMINO HACIA ATRÁS...

41 Backups y recuperación
Hardware Software Algunas preguntas frecuentes De que dependen? Como se manifiestan? Donde se realizan? Cada cuanto deben realizarse?

42 Que es y como contribuye la criptografía a la SI?
Ininteligibilidad a usuarios no autorizados Métodos de encriptación Valiosos para la protección de datos y redes Usan algoritmos matemáticos en función de cadenas validas o passwords

43 Delitos informáticos Delito de computación Delito en Internet
Usa una computadora Objeto del delito Escena del delito Instrumento del delito Delito en Internet Acceso, uso, modificación y destrucción no autorizados de Hard/Soft, datos y recursos de redes Distribución no autorizada de información Copia no autorizada de software ....

44 Perfil del delincuente informático
En base a estudios, su perfil es Joven Mayoría de técnicos jóvenes Ausencia de responsabilidad profesional Mejores y mas brillantes empleados Ocupan puestos de confianza No se encuentran solos. Cuentan con ayuda Aprovecha el abandono de las normas o estándares Síndrome de Robin Hood Juega con el desafío. Reto intelectual

45 Planes principales de un programa de administración de la seguridad de sistemas
Contingencias ES MUY IMPORTANTE EL APOYO DE LA DIRECCION SUPERIOR, SIN CUYO RESPALDO EXPLICITO Y CONTINUO TALES PLANES NO PODRAN SER CUMPLIDOS CON EXITO !¡

46 Plan de seguridad - PS Conjunto de medidas preventivas, detectivas y correctivas destinadas a enfrentar los riesgos a los que están expuestos los activos informáticos de una organización Su objetivo esencial es proteger los activos informáticos en cuanto a integridad, confidencialidad, privacidad y continuidad

47 Plan de contingencias - PC
Conjunto de procedimientos que luego de producido un desastre, pueden ser rápidamente ejecutados para restaurar las operaciones normales con máxima rapidez y mínimo impacto Es un capitulo del plan de seguridad – Medidas correctivas Objetivos esenciales Minimizar el impacto Promover una rápida recuperación de la operatividad

48 Matriz de Análisis de Riesgos
Como es su estructura? Qué información podemos extraer de ella?

49 Gracias