Auditoria de Sistemas de Gestión

Slides:



Advertisements
Presentaciones similares
INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
Advertisements

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.
T A L L E R IMPLEMENTACION DEL CONTROL INTERNO EN LAS UNIDADES DE TECNOLOGIA DE LA INFORMACION (TI)
information technology service
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto
Aclaraciones de la Realización del Producto
Aspectos Organizativos para la Seguridad
La Necesidad de un Ambiente Eficaz de Controles Generales de TI
INFRAESTRUCTURA DE CLAVE PÚBLICA
CONTROL DE DOCUMENTOS Y REGISTROS EN LOS CENTROS DE CONCILIACIÓN Y/O ARBITRAJE NTC-5906.
SECCIÓN ARCHIVO Y CORRESPONDENCIA En el tiempo de los PROCESOS…
Versión Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Introducción a los Sistemas de Gestión de la Calidad
Medición, Análisis y Mejora
Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas
Enrique Cardenas Parga
12.4 Seguridad de los archivos del sistema
Evaluación de Productos
Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos
Controles internos en Sistemas de Información Universidad de Buenos Aires Facultad de Ciencias Económicas Materia: Sistemas Administrativos.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Auditoria de la seguridad de los datos y del software de aplicación Unidad IV.
CGR (Contraloría general de la república) Steven Oviedo Rodríguez
NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS
Actividades de control
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
Documentación del sistema de gestión de la calidad.
“Adopción de SGSI en el Sector Gobierno del PERÚ”
Documentación del Sistema de Gestión de Calidad
UNIDAD No. 5 ESTUDIO Y EVALUACION DEL CONTROL INTERNO EN INFORMATICA
SEGURIDAD INFORMÁTICA
Metodología de Control Interno, Seguridad y Auditoría Informática
¿Para qué ISO 17025? Ser reconocido como competente en la realización de ensayos específicos. La satisfacción de los clientes y mayor confianza en los.
PARTICIPACIÓN DEL AUDITOR EN EL DESARROLLO DE SISTEMAS
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
REQUISITOS DE LA NORMA ISO 9001:2000.
Ley N° 30024, Ley que crea el Registro Nacional de Historias Clínicas Electrónicas RENHICE.
FILOSOFIA DE MEJORAMIENTO CONTINUO ISO 14001
Registro: Es la evidencia escrita de una actividad que se ejecutó.
Tema 2 – Implantación de mecanismos de seguridad activa
35 años de investigación, innovando con energía 1 Mayo, 2012 P LAN DE ASEGURAMIENTO DE LA CALIDAD DEL DESARROLLO DE SOFTWARE E STÁNDAR IEEE 730 Y G UÍA.
UNIVERSIDAD LATINA BASES DE DATOS ADMINISTRACIÓN.
Seguridad y Auditoria de Sistemas Ciclo
Dominios de control para la información y tecnologías (cobit) Pamela Pacheco Aviles.
SOLUCIONES TECNOLÓGICAS Protección de las comunicaciones en internet
Proveedores de servicios externos
 
INTRODUCCION SEGURIDAD INFORMATICA. Seguridad informatica consiste en asegurar que los recursos del sistema de información (material informático o programas)
MANUAL DE PROCEDIMIENTOS
UNIVERSIDAD "ALONSO DE OJEDA" UNIVERSIDAD "ALONSO DE OJEDA"
Procesos itil Equipo 8.
Daniela Ovando Santander Auditoria de Sistemas
AUDITORÍAS MEDIOAMBIENTALES
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS. Técnicas de Cifrado: El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo.
Universidad Latina CONTROL INTERNO.
LAR 145 Capítulo C.
ALBA LUCIA SANZ LEMOS ALEXANDRA POMBO CAMPOS
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
Ingeniería del Software
Transcripción de la presentación:

Auditoria de Sistemas de Gestión Integrantes: Ligia Aguirre Mayra Rivera Fernando Yépez Evelyn Peña Mario Cruz Luis Fierro Desarrollo y Mantenimiento de Sistemas

DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Requerimientos de Seguridad de los Sistemas Análisis y especificaciones de los requerimientos de Seguridad ESPOL-ICM-ING. AUDITORIA Y CONTROL DE GESTION

Requerimientos de Seguridad de los Sistemas

Requerimientos de Seguridad de los Sistemas

Requerimientos de Seguridad de los Sistemas

Seguridad en los Sistemas de Aplicación Validación de datos de entrada Controles de procesamiento interno Autenticación de mensajes Validación de los datos de salida Seguridad en los Sistemas de Aplicación ESPOL-ICM-ING. AUDITORIA Y CONTROL DE GESTION

Requerimientos de Seguridad de los Sistemas

Seguridad en los Sistemas de Aplicación VALIDACION DE LOS DATOS DE ENTRADA ASEGURAR QUE SON CORRECTOS Y APROPIADOS CONTROLES APLICADOS A ENTRADAS DE TRANSACCIONES, DATOS PERMANENTES, TABLAS DE PARAMETROS

Seguridad en los Sistemas de Aplicación CONTROLES DE PROCESAMIENTO INTERNO AREAS DE RIEGOS CONTROLES Y VERIFICACIONES

Seguridad en los Sistemas de Aplicación AUTENTICACION DE MENSAJES CAMBIOS NO AUTORIZADOS EN EL CONTENIDO DE UN MENSAJE TRANSMITIDO ELECTRÓNICAMENTE IMPLEMENTADO EN HARDWARE Y SOFTWARE

Seguridad en los Sistemas de Aplicación VALIDACION DE DATOS DE SALIDA GARANTIZAR QUE EL PROCESAMIENTO DE LA INFORMACIÓN ALMACENADA SEA CORRECTO Y ADECUADO

CONTROLES CRIPTOGRAFICOS RIESGO Desarrollo y Mantenimiento de Sistemas

POLITICA DE UTILIZACION DE CONTROLES CRIPTOGRAFICOS INTRODUCCION EVALUACION DE RIESGOS NIVEL PROTECCION DE LA INFORMACION ¿ ADECUADO O NO?

POLITICA DE UTILIZACION DE CONTROLES CRIPTOGRAFICOS DESARROLLAR UNA POLITICA MAXIMIZAR BENEFICIOS Y MINIMIZAR RIESGOS POLITICA RIESGO BENEFICIO

POLITICA DE UTILIZACION DE CONTROLES CRIPTOGRAFICOS AL DESARROLLAR UNA POLITICA SE DEBE CONSIDERAR: ENFOQUE GERENCIAL. ENFOQUE RESPECTO A LA ADMINISTRACION DE CLAVES. RECUPERACION INFORMACION CIFRADA FUNCIONES Y RESPONSABILIDADES. IMPLEMENTACION DE LA POLITICA. ADMINISTRACION DE LAS CLAVES. DETERMINAR EL NIVEL DE PROTECCION. ESTANDARES.

CIFRADO INTRODUCCION PROTEGER LA CONFIDENCIALIDAD DE LA INFORMACION. INFORMACION SENSIBLE O CRITICA. E.R. NIVEL PROTECCION TIPO Y CALIDAD DEL ALGORITMO CIFRADO LONGITUD DE CLAVES CRIPTOGRAFICAS.

CIFRADO AL IMPLEMENTAR LA POLITICA: NORMAS Y RESTRICCIONES NACIONALES. FLUJO DE INFORMACION CIFRADAS A TRAVÉS DE LAS FRONTERAS. CONTROLES A LA EXPORTACION E IMPORTACION DE TECNOLOGIA CRIPTOGRAFICA. NOTA: ASESORAMIENTO ESPECIALIZADO: NIVEL PROTECCION. SELECCIONAR PRODUCTOS ASESORAMIENTO JURIDICO.

FIRMA DIGITAL INTRODUCCION PROTECCION A LA AUTENTICIDAD E INTEGRIDAD DE LOS DOCUMENTOS ELECTRONICOS. FIRMAR PAGOS, TRANFERENCIAS DE FONDOS, CONTRATOS, CONVENIOS ELECTRONOCOS.

FIRMA DIGITAL PUEDEN IMPLEMENTARSE USANDO UNA TÉCNICAS CRIPTOGRÁFICA. CLAVES RELACIONADAS: CLAVE PRIVADA CLAVE PÚBLICA CONSIDERAR EL TIPO Y LA CALIDAD DEL ALGORITMO DE FIRMA, LONGITUD DE CLAVES. NOTA: CONSIDERAR LA LEGISLACION. CONTRATOS DE CUMPLIMIENTO U OTROS ACUERDOS.

Administración de Claves Servicios de no Repudio Se utilizan cuando se debe resolver disputas acerca de la ocurrencia o no de un evento o acción. Ej.: Una firma digital en un pago electrónico. “Esto se hace para ayudar a probar que se realizó tal evento o acción” Servicios de no Repudio Desarrollo y Mantenimiento de Sistemas

Protección de claves criptográficas Esencial para el uso eficaz de las técnicas criptográficas. Cualquier pérdida de claves puede comprometer la confidencialidad, autenticidad y/o integridad de la información. Protección de claves criptográficas Técnica de clave secreta, se comparte la clave y esta se utiliza para cifrar y descifrar. Debe mantenerse en secreto. Técnica de clave pública, se tienen un par de claves: una clave pública (que puede ser revelada) y una clave privada (que debe mantenerse en secreto). Desarrollo y Mantenimiento de Sistemas

Normas, procedimientos y métodos Sistema de administración de claves debe asegurar: Claves para diferentes sistemas y aplicaciones. Obtener certificados de clave pública. Distribuir claves a los usuarios correspondientes. Almacenar claves, incluyendo como tienen acceso los usuarios. Cambiar o actualizar claves. Ocuparse de las claves comprometidas. Revocar claves, y como debe hacerse. Recuperar claves perdidas o alteradas. Archivar claves. Destruir claves. Registrar y auditar las actividades de administración de claves. Desarrollo y Mantenimiento de Sistemas

Servicios de no Repudio Las claves Fechas de entradas en vigencia y de fin de vigencia Ser utilizadas solo por un período limitado de tiempo Deben tener Definidas para Desarrollo y Mantenimiento de Sistemas

Normas, procedimientos y métodos Considerar procedimientos para administrar requerimientos legales de acceso a claves criptográficas. Ej: Tener información (cifrada) en una forma clara la cual es necesaria para un caso judicial. Desarrollo y Mantenimiento de Sistemas

Normas, procedimientos y métodos Se debe proteger también las claves públicas Uso de certificados de clave pública otorgado por una autoridad competente de certificación. mediante Desarrollo y Mantenimiento de Sistemas

Seguridad de los Archivos del Sistema Garantizar que los proyectos y actividades de soporte de TI se lleven a cabo de manera segura.

Control del Software Operativo La actualización de las bibliotecas de programas operativos solo debe ser realizada por el bibliotecario designado una vez autorizada adecuadamente por la gerencia. Si es posible, los sistemas en operaciones sólo deben guardar el código ejecutable.

Desarrollo y Mantenimiento de Sistemas El código ejecutable no debe ser implementado en un sistema operacional hasta tanto no se obtenga evidencia del éxito de las pruebas y de la aceptación del usuario, y se hayan actualizado las correspondientes bibliotecas de programas fuente. Se debe mantener un registro de auditoria de todas las actualizaciones a las bibliotecas de programas operativos. Las versiones previas de software deben ser retenidas como medida de contingencia. Desarrollo y Mantenimiento de Sistemas

El mantenimiento del software suministrado por el proveedor y utilizado en los sistemas operacionales debe contar con el soporte del mismo. Los parches de software deben aplicarse cuando pueden ayudar a eliminar o reducir las debilidades en materia de seguridad. Solo debe otorgarse acceso lógico o físico a los proveedores con fines de soporte y si resulta necesario, y previa aprobación de la gerencia. Las actividades del proveedor deben ser monitoreadas

Protección de los datos de prueba del sistema Los datos de prueba deben ser protegidos y controlados. Las pruebas de aceptación del sistema normalmente requieren volúmenes considerables de datos de prueba, que sean tan cercanos como sea posible a los datos operativos. Se debe evitar el uso de bases de datos operativas que contengan información personal. Si se utiliza información de esta índole, esta debe ser despersonalizada antes del uso

Controles para proteger los datos operativos cuando se utilizan con propósitos de prueba. Los procedimientos de control de accesos, que se aplican a los sistemas de aplicación en operación deben aplicarse a los sistemas de aplicación de prueba. Se debe llevar a cabo una autorización por separado cada vez que se copia información operativa a un sistema de aplicación de pruebas. Se debe borrar la información operativa de un sistema de aplicación de prueba inmediatamente después de completada la misma. La copia y el uso de información operacional deben ser registrados a fin de suministrar una pista de auditoria.

Control de acceso a las bibliotecas de programa fuente Se debe mantener un control estricto del acceso a las bibliotecas de programa fuente, según los siguientes puntos: Dentro de lo posible, las bibliotecas de programas fuente no deben ser almacenadas en los sistemas que está operativo. Se debe designar a un bibliotecario de programas para cada aplicación. El personal de soporte de TI no debe tener acceso irrestricto a las bibliotecas de programas fuente. Desarrollo y Mantenimiento de Sistemas

Se debe designar a un bibliotecario de programas para cada aplicación. El personal de soporte de TI no debe tener acceso irrestricto a las bibliotecas de programas fuente. Los programas en desarrollo o mantenimiento no deben ser almacenados en las bibliotecas de programas fuente operacional. La actualización de bibliotecas de programas fuente y la distribución de programas fuente a los programadores, solo debe ser llevada a cabo por el bibliotecario designado, con la autorización del gerente de soporte de TI para la aplicación pertinente. Los listados de programas deben ser almacenados en un ambiente seguro. Se debe mantener un registro de auditoria de todos los accesos a las bibliotecas de programa fuente.

Las viejas versiones de los programas fuente deben ser archivadas con una clara indicación de las fechas y horas precisas en las cuales estaban en operaciones, junto con todo el software de soporte, el control de tareas, las definiciones de datos y los procedimientos. El mantenimiento y la copia de las bibliotecas de programas fuente deben estar sujeta a procedimientos estrictos de control de cambios

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.