La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUDITORÍA INFORMÁTICA - SEGURIDAD

Publicada porHermenegildo Forero Modificado hace 10 años

Presentaciones similares

Presentación del tema: "AUDITORÍA INFORMÁTICA - SEGURIDAD"— Transcripción de la presentación:

1 AUDITORÍA INFORMÁTICA - SEGURIDAD

2 Auditoría de la Seguridad
La auditoria nace como un órgano de control de algunas instituciones estatales y privadas. Su función inicial es estrictamente económico financiera y buscaba optimizar los recursos de todo el componente informático de la organización, pero con los nuevos desarrollos tecnológicos se ha ido especializando y profundizando.

3 La auditoria de seguridad informática analiza los procesos relacionados únicamente con la seguridad, ésta puede ser física, lógica y locativa pero siempre orientada a la protección de la información. Es este el punto de mayor diferencia, la seguridad informática se preocupa por la integridad y disponibilidad de la información mientras la auditoria de sistemas incluye otras características más administrativas.

4 METODO Los Checklist o listas de chequeo
Otro factor que es muy importante considerar es el de las listas de chequeo. En una gran medida la información sobre los problemas de seguridad informática la tienen los propios usuarios y solo se necesita proveer un mecanismo adecuado para que ellos mismos definan sus deficiencias en seguridad informática. El mecanismo mas adecuado en este caso son las listas de chequeo, aunque se debe tener cuidado y proveer las listas correctas al personal adecuado e identificar en que momento las debe desarrollar el auditor mediante observación y no el usuario.

5 AUDITORIAS DE REDES TELEINFORMATICAS
La seguridad en los sistemas de información y de computo se ha convertido en uno de los problemas más grandes desde la aparición, y más aun, desde la globalización de Internet. Dada la potencialidad de esta herramienta y de sus innumerables aplicaciones, cada vez mas personas y más empresas sienten la necesidad de conectarse a este mundo.

6 Reglas generales para evitar intromisiones:
• Mínimos espacios por donde salir o entrar. • Mínimos recursos accesibles desde fuera. • Mínima importancia de datos con posibilidad de robo. • Máximos controles entre nuestra red y la red exterior.

7 NIVELES DE SEGURIDAD De acuerdo con los estándares de seguridad en computadoras desarrollado en el libro naranja del Departamento de Defensa de Estados Unidos, se usan varios niveles de seguridad para proteger de un ataque al hardware, al software y a la información guardada. Los Niveles son: D1 C1 C2 B1 B2 B3 A

8 AUDITORIA DE APLICACIONES
La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizables tiene la empresa. Muy escuetamente, una Aplicación recorre las siguientes fases: Prerrequisitos del Usuario (único o plural) y del entorno Análisis funcional Diseño Análisis orgánico (Preprogramación y Programación) Pruebas Entrega a Explotación y alta para el Proceso.

9 AUDITORIA JURIDICA La Auditoría Jurídica dentro de la Auditoria Informática es la revisión independiente del uso del material, de la información y de sus manipuladores desde la perspectiva de la normativa legal (civil, penal, laboral…), efectuada por un jurista experto independiente con al finalidad de emitir un dictamen sobre su adecuación a la legalidad vigente. La Auditoría jurídica comprende cuatro áreas: Auditoría del Entorno Informático, Auditoría de las personas que manipulan la información, Auditoría de la Información, auditoría de los archivos.

10 COBIT La evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association).

11 Existen tres momentos para responder ante una falla en esta área, relacionados con la cronología de la misma ANTES Ubicación del edificio Ubicación del centro de procesamiento dentro del edificio División Elementos de construcción Potencia eléctrica Sistemas contra incendios Control de accesos Seguridad de los medios Medidas de protección Duplicación de medios DURANTE Ejecutar un plan de contingencia adecuado, el cual realice un análisis de riesgos de sistemas críticos, establezca un periodo crítico de recuperación (del desastre), realice un análisis de aplicaciones críticas, establezca prioridades y objetivos de recuperación, designe un Centro Alternativo de Procesamiento, y asegurar la capacidad de las comunicaciones y de los servicios de back-up. DESPUÉS Centro de proceso y equipamiento Reconstrucción de medios de software Gastos extra Interrupción del negocio Documentos y registros valiosos Errores y omisiones Cobertura de fidelidad Transporte de medios Contratos con proveedores y de mantenimiento

12 CAAT, COSO CAAT: Las técnicas de auditoría asistidas por computadora son de suma importancia para el auditor de TI cuando realiza una auditoría. CAAT (Computer Audit Assisted Techniques) incluyen distintos tipos de herramientas y de técnicas, las que más se utilizan son los software de auditoría generalizado, software utilitario, los datos de prueba y sistemas expertos de auditoría. Las CAAT se pueden utilizar para realizar varios procedimientos de auditoría incluyendo: Prueba de los detalles de operaciones y saldos. Procedimientos de revisión analíticos. Pruebas de cumplimiento de los controles generales de sistemas de información. Pruebas de cumplimiento de los controles de aplicación.

13 COSO: El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de Control Interno. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar de referencia en todo lo que concierne al Control Interno. No puede por lo tanto faltar una sección expresamente dedicada a este documento en toda web que pretenda dedicarse a la auditoria con profesionalidad. Recientemente, el interés de los profesionales de la auditoria y las finanzas por el informe COSO se ha reavivado gracias también a las nuevas exigencias en lo que concierne al Control Interno introducido por el Sarbanes Oxley Act.

14 El principal objetivo del Control Interno es garantizar que la empresa alcance sus objetivos. En este sentido, el Control Interno (CI) puede actuar de 2 distintas maneras: Evitar que se produzcan desviaciones con respecto a los objetivos establecidos; Detectar, en un plazo mínimo, estas desviaciones. El Informe COSO consta de 2 partes: 1. Un Resumen para la Dirección, que introduce los principales conceptos, 2. y el Marco integrado de Referencia, donde se analizan en detalle los 5 pilares del Control Interno: Entorno de Control, Evaluación de los Riesgos, Actividades de Control, Información y Comunicación, Supervisión.

Descargar ppt "AUDITORÍA INFORMÁTICA - SEGURIDAD"

Presentaciones similares

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.

Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.
Universidad Nacional de Ingeniería UNI-Norte

Universidad Nacional de Ingeniería UNI-Norte
Auditoría Informática

Auditoría Informática
ING. SACNITE GRIMALDO GARCIA

ING. SACNITE GRIMALDO GARCIA
PROGRAMA DE AUDITORIA DE SISTEMAS

PROGRAMA DE AUDITORIA DE SISTEMAS
PROCESOS ITIL Entrega Soporte Usuario Cliente Gestión de niveles

PROCESOS ITIL Entrega Soporte Usuario Cliente Gestión de niveles
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
Sesión 5, Organización de Centros de Cómputo

Sesión 5, Organización de Centros de Cómputo
Guia Diseño Robert Echeverria

Guia Diseño Robert Echeverria
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
Versión 2. 12.03.12. Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.

Versión Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Enrique Cardenas Parga

Enrique Cardenas Parga
Metodologías de control interno, seguridad y auditoría informática

Metodologías de control interno, seguridad y auditoría informática
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN

Presentaciones similares

Anuncios Google