La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUDITORIA y SEGURIDAD INFORMÁTICA Informática Básica Aplicada UNLaR Ciclo 2008 Prof. Marcelo Martínez.

Presentaciones similares


Presentación del tema: "AUDITORIA y SEGURIDAD INFORMÁTICA Informática Básica Aplicada UNLaR Ciclo 2008 Prof. Marcelo Martínez."— Transcripción de la presentación:

1 AUDITORIA y SEGURIDAD INFORMÁTICA Informática Básica Aplicada UNLaR Ciclo 2008 Prof. Marcelo Martínez

2 Porqué? La vulnerabilidad acarreada por los computadores Impacto de los computadores sobre las tareas de auditoría La adecuación de las normas de auditoría a un entorno electrónico

3 Auditar Ejercer control sobre una determinada acción Donde auditamos a menudo? –A nivel personal –A nivel laboral –A nivel académico

4 Control Actividad/es o acción/es realizadas por uno o varios elementos de un sistema, que tienen como finalidad la prevención, detección y corrección de errores que afecten la homeostasis del sistema I/E Proceso C O/S

5 Etimología – AUDITORIUS Latín: Auditor, que tiene la virtud de oir

6 Diccionario – AUDITOR Revisor de cuentas colegiado

7 Auditoria Es el examen de la información por TERCERAS partes, distintas de quienes la generan y quienes la utilizan Se produce con la intención de establecer su suficiencia y adecuación a las normas.- Es necesario poder medirlas, necesitamos un patrón Produce informes como resultado del examen critico Su objetivo es: evaluar la eficiencia y eficacia, determinar cursos de acción alternativos y el logro de los objetivos propuestos MEJORA CONTINUA!!!!

8 Auditoria según IMC Agrega a la definición anterior. –La auditoria requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos IMC= Instituto Mexicano de Contabilidad

9 Pregunta? Alberto es contador Alberto es responsable –Ambos son juicios?

10 NO La primera es una afirmación, observación de lo que es verdadero para nosotros. Nos permiten describir al manera en que vemos las cosas La segunda es un JUICIO, un tipo especial de DECLARACION. Es una apreciación, opinión o interpretación NUESTRA de lo que observamos.

11 Caso de estudio …. Virginia, tiene 30 años, estudió en Córdoba y es muy agradable como ser humano. Actualmente esta casada, tiene 3 hijos y su capacidad profesional asombra a todos sus colegas. Vive en La Rioja y su casa es muy linda. Hoy nos acompaña en esta clase y esta muy alegre de compartir con todos nosotros la clase.

12 Que es un JUICIO? Una declaración No son verdaderos o falsos. Dejan siempre abierta la posibilidad a discrepar Son validos o inválidos. Su validez depende de la AUTORIDAD que la comunidad confiera a otros para emitirlos El grado de efectividad de los juicios esta directamente relacionado con la autoridad formal o informal que hemos conferido a la persona que los hace. Temas relacionados: –Ontología del lenguaje –Postulados básicos de la OL

13 Fundamentación de los JUICIOS Cada vez que emitimos un juicio asumimos el compromiso social de fundarlo, es decir, mostrar las observaciones pasadas en las que se asienta nuestro juicio y la inquietud o interés por el futuro que lo motiva

14 Auditoria Informática Revisión, análisis y evaluación independiente y objetiva de un entorno informático –Hardware –Software Base Aplicación –Comunicaciones –Procedimientos-Gestión de recursos informáticos

15 Tener en cuenta… Los objetivos fijados Los planes, programas y presupuestos Controles, leyes aplicables, entre otros….

16 Tipos de Auditoría Evaluación del sistema de control interno De cumplimiento de políticas, estándares y procedimientos De seguridad: física y lógica De operaciones/gestión Interna/Externa

17 Fuentes Todo tipo de fuente referido a: –Hardware –Software –Instalaciones –Procedimientos

18 Check List Revisión del Hardware –- Revisión del Software –- Instalaciones –- Procedimientos –-

19 Principios fundamentales de la auditoria en una computadora AUTOMATISMO del computador –Programa - Algoritmo –No al comportamiento probabilístico DETERMINISMO del algoritmo –Ante un conjunto de datos de entrada, siempre se obtengas una misma salida

20 El Control Interno –Creación de relaciones adecuadas entre las diversas funciones del negocio y los resultados finales de operación. Interno Electrónico –Comportamiento de los circuitos electrónicos. Ej. Transmisión de datos Interno Informático –Verifica el cumplimiento de los procedimientos, estándares y normas fijadas por la dirección de informática, como así también los requerimientos legales

21 La seguridad de los sistemas de información La protección de los activos informáticos

22 Seguridad, algunos conceptos Seguridad –Protección contra perdidas –Es un sistema seguro, impenetrable? Grados de seguridad Vs costo –Naturaleza de las amenazas – contingencias A que apuntan las medidas de seguridad? –Integridad, confidencialidad, privacidad y continuidad

23 Integridad Completa y correcta Datos libres de errores –Intencionales como no intencionales No contradictorios!!!

24 Confidencialidad Proteger la información contra la divulgación indebida

25 Privacidad Tiene que ver con la persona Similar a intimidad Información que un individuo no desea tenga difusión generalizada Que sucede cuando el derecho de los individuos se contraponen con las necesidades de las organizaciones privadas o publicas?

26 Continuidad Seguir Operando!!!!

27 Sensitividad Atributo que determina que la información deberá ser protegida

28 Identificación Declaración de ser una persona o programa –Numero ID –T Magnética –Registro de Voz –Etc

29 Autenticar Es una prueba de identidad Debe ser secreto Ejemplos....LAS PASSWORDS

30 Autorización Función del sistema de control Es el QUIEN DEBE HACER QUE... Debe ser especifica, no general

31 Contingencia Es una amenaza al conjunto de los peligros a los que están expuestos los recursos informáticos de una organización Recursos: –Personas –Datos –Hardware –Software –Instalaciones –.....

32 Categorías de Contingencias Ambientales Ambientales naturales –Inundación, incendio, filtraciones, alta temperatura, terremoto, derrumbe explosión, corte de energía, disturbios, etc Ambientales operativas –Caída o falla del procesador, periféricos, comunicaciones, software de base/aplicación, AC, Sistema eléctrico, etc

33 Categorías de contingencias Humanas Humanas no intencionales –Errores y/o omisiones en el ingreso de datos, errores en backup, falta de documentación actualizada, en daños accidentales... Humanas intencionales –Fraude, daño intencional, terrorismo, virus, hurto, robo, etc.

34 Cuales son los desastres mas comunes que pueden afectar los sistemas? Virus Fuego Inundaciones Cortes de electricidad Interferencias eléctricas Fallas mecánicas Sabotaje Empleados descontentos Uso indebido de recursos

35 Vulnerabilidad Debilidad que presenta una organización frente a las contingencias que tienen lugar en el entrono del procesamiento de datos. Falta de protección ante una contingencia Se da ante la falta de: –Software de protección –Responsables a cargo de la SI –Planes de seguridad, contingencias –Inadecuada/o: Selección y capacitación Diseño de sistemas, programación, operación Backups Auditorias I/E

36 Consecuencia Daño o perdida potencial ante la ocurrencia de una contingencia Algunas consecuencias inmediatas: –Imposibilidad de procesar –Perdida de archivos y registros –Lectura indebida Otras consecuencias mediatas: –Legales –Económicas/financieras –Incidencia en otros sistemas

37 Tipos de Medidas de seguridad Preventivas –Limitan la posibilidad de que se concreten las contingencias Detectivas –Limitan los efectos de las contingencias presentadas Correctivas –Orientadas a recuperar la capacidad de operación normal

38 Que tipo de controles pueden efectuarse para aumentar la seguridad? Acceso Físico Acceso Lógico

39 Métodos de control de accesos Contraseñas –Características, fuerzas y debilidades Otros medios de autenticación –Impresiones digitales –RPV –Medidas de geometría de mas manos –Iris del ojo

40 Que es una pista de auditoria? Huella o registro generado automáticamente Orientado a un análisis posterior Permite reconstruir el procesamiento Es un CAMINO HACIA ATRÁS...

41 Backups y recuperación Hardware Software Algunas preguntas frecuentes –De que dependen? –Como se manifiestan? –Donde se realizan? –Cada cuanto deben realizarse?

42 Que es y como contribuye la criptografía a la SI? Ininteligibilidad a usuarios no autorizados Métodos de encriptación –Valiosos para la protección de datos y redes –Usan algoritmos matemáticos en función de cadenas validas o passwords

43 Delitos informáticos Delito de computación –Usa una computadora Objeto del delito Escena del delito Instrumento del delito Delito en Internet –Acceso, uso, modificación y destrucción no autorizados de Hard/Soft, datos y recursos de redes –Distribución no autorizada de información –Copia no autorizada de software –....

44 Perfil del delincuente informático En base a estudios, su perfil es –Joven Mayoría de técnicos jóvenes Ausencia de responsabilidad profesional –Mejores y mas brillantes empleados –Ocupan puestos de confianza –No se encuentran solos. Cuentan con ayuda –Aprovecha el abandono de las normas o estándares –Síndrome de Robin Hood –Juega con el desafío. Reto intelectual

45 Planes principales de un programa de administración de la seguridad de sistemas Seguridad Contingencias ES MUY IMPORTANTE EL APOYO DE LA DIRECCION SUPERIOR, SIN CUYO RESPALDO EXPLICITO Y CONTINUO TALES PLANES NO PODRAN SER CUMPLIDOS CON EXITO

46 Plan de seguridad - PS Conjunto de medidas preventivas, detectivas y correctivas destinadas a enfrentar los riesgos a los que están expuestos los activos informáticos de una organización Su objetivo esencial es proteger los activos informáticos en cuanto a integridad, confidencialidad, privacidad y continuidad

47 Plan de contingencias - PC Conjunto de procedimientos que luego de producido un desastre, pueden ser rápidamente ejecutados para restaurar las operaciones normales con máxima rapidez y mínimo impacto Es un capitulo del plan de seguridad – Medidas correctivas Objetivos esenciales –Minimizar el impacto –Promover una rápida recuperación de la operatividad

48 Matriz de Análisis de Riesgos Como es su estructura? Qué información podemos extraer de ella?

49 Gracia s


Descargar ppt "AUDITORIA y SEGURIDAD INFORMÁTICA Informática Básica Aplicada UNLaR Ciclo 2008 Prof. Marcelo Martínez."

Presentaciones similares


Anuncios Google