AUDITORIA y SEGURIDAD INFORMÁTICA Informática Básica Aplicada UNLaR Ciclo 2008 Prof. Marcelo Martínez

Porqué? La vulnerabilidad acarreada por los computadores Impacto de los computadores sobre las tareas de auditoría La adecuación de las normas de auditoría a un entorno electrónico

Auditar Ejercer control sobre una determinada acción Donde auditamos a menudo? A nivel personal A nivel laboral A nivel académico

Control Actividad/es o acción/es realizadas por uno o varios elementos de un sistema, que tienen como finalidad la prevención, detección y corrección de errores que afecten la homeostasis del sistema I/E Proceso C O/S

Etimología – AUDITORIUS Latín: Auditor, que tiene la virtud de oir

Diccionario – AUDITOR Revisor de cuentas colegiado

Auditoria Es el examen de la información por TERCERAS partes, distintas de quienes la generan y quienes la utilizan Se produce con la intención de establecer su suficiencia y adecuación a las normas.- Es necesario poder medirlas, necesitamos un patrón Produce informes como resultado del examen critico Su objetivo es: evaluar la eficiencia y eficacia, determinar cursos de acción alternativos y el logro de los objetivos propuestos MEJORA CONTINUA!!!!

Agrega a la definición anterior. Auditoria según IMC Agrega a la definición anterior. La auditoria requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos IMC= Instituto Mexicano de Contabilidad

¿? Pregunta? Alberto es contador Alberto es responsable Ambos son juicios? ¿?

NO La primera es una afirmación, observación de lo que es verdadero para nosotros. Nos permiten describir al manera en que vemos las cosas La segunda es un JUICIO, un tipo especial de DECLARACION. Es una apreciación, opinión o interpretación NUESTRA de lo que observamos.

Caso de estudio …. Virginia, tiene 30 años, estudió en Córdoba y es muy agradable como ser humano. Actualmente esta casada, tiene 3 hijos y su capacidad profesional asombra a todos sus colegas. Vive en La Rioja y su casa es muy linda. Hoy nos acompaña en esta clase y esta muy alegre de compartir con todos nosotros la clase.

Que es un JUICIO? Una declaración No son verdaderos o falsos. Dejan siempre abierta la posibilidad a discrepar Son validos o inválidos. Su validez depende de la AUTORIDAD que la comunidad confiera a otros para emitirlos El grado de efectividad de los juicios esta directamente relacionado con la autoridad formal o informal que hemos conferido a la persona que los hace. Temas relacionados: Ontología del lenguaje Postulados básicos de la OL

Fundamentación de los JUICIOS Cada vez que emitimos un juicio asumimos el compromiso social de fundarlo, es decir, mostrar las observaciones pasadas en las que se asienta nuestro juicio y la inquietud o interés por el futuro que lo motiva

Auditoria Informática Revisión, análisis y evaluación independiente y objetiva de un entorno informático Hardware Software Base Aplicación Comunicaciones Procedimientos-Gestión de recursos informáticos

Tener en cuenta… Los objetivos fijados Los planes, programas y presupuestos Controles, leyes aplicables, entre otros….

Tipos de Auditoría Evaluación del sistema de control interno De cumplimiento de políticas, estándares y procedimientos De seguridad: física y lógica De operaciones/gestión Interna/Externa

Fuentes Todo tipo de fuente referido a: Hardware Software Instalaciones Procedimientos

Check List Revisión del Hardware Revisión del Software Instalaciones - Revisión del Software Instalaciones Procedimientos

Principios fundamentales de la auditoria en una computadora AUTOMATISMO del computador Programa - Algoritmo No al comportamiento probabilístico DETERMINISMO del algoritmo Ante un conjunto de datos de entrada, siempre se obtengas una misma salida

El Control Interno Interno Electrónico Interno Informático Creación de relaciones adecuadas entre las diversas funciones del negocio y los resultados finales de operación. Interno Electrónico Comportamiento de los circuitos electrónicos. Ej. Transmisión de datos Interno Informático Verifica el cumplimiento de los procedimientos, estándares y normas fijadas por la dirección de informática, como así también los requerimientos legales

La seguridad de los sistemas de información La protección de los activos informáticos

Seguridad, algunos conceptos Protección contra perdidas Es un sistema seguro, impenetrable? Grados de seguridad Vs costo Naturaleza de las amenazas – contingencias A que apuntan las medidas de seguridad? Integridad, confidencialidad, privacidad y continuidad

A=B B=C A<>C ??? Integridad Completa y correcta Datos libres de errores Intencionales como no intencionales No contradictorios!!! A=B B=C A<>C ???

Confidencialidad Proteger la información contra la divulgación indebida

Privacidad Tiene que ver con la persona Similar a intimidad Información que un individuo no desea tenga difusión generalizada Que sucede cuando el derecho de los individuos se contraponen con las necesidades de las organizaciones privadas o publicas?

Continuidad Seguir Operando!!!!

Sensitividad Atributo que determina que la información deberá ser protegida

Identificación Declaración de ser una persona o programa Numero ID T Magnética Registro de Voz Etc

Autenticar Es una prueba de identidad Debe ser secreto Ejemplos....LAS PASSWORDS

Autorización Función del sistema de control Es el QUIEN DEBE HACER QUE... Debe ser especifica, no general

Contingencia Es una amenaza al conjunto de los peligros a los que están expuestos los recursos informáticos de una organización Recursos: Personas Datos Hardware Software Instalaciones .....

Categorías de Contingencias Ambientales Ambientales naturales Inundación, incendio, filtraciones, alta temperatura, terremoto, derrumbe explosión, corte de energía, disturbios, etc Ambientales operativas Caída o falla del procesador, periféricos, comunicaciones, software de base/aplicación, AC, Sistema eléctrico, etc

Categorías de contingencias Humanas Humanas no intencionales Errores y/o omisiones en el ingreso de datos, errores en backup, falta de documentación actualizada, en daños accidentales... Humanas intencionales Fraude, daño intencional, terrorismo, virus, hurto, robo, etc.

Cuales son los desastres mas comunes que pueden afectar los sistemas? Virus Fuego Inundaciones Cortes de electricidad Interferencias eléctricas Fallas mecánicas Sabotaje Empleados descontentos Uso indebido de recursos

Vulnerabilidad Debilidad que presenta una organización frente a las contingencias que tienen lugar en el entrono del procesamiento de datos. Falta de protección ante una contingencia Se da ante la falta de: Software de protección Responsables a cargo de la SI Planes de seguridad, contingencias Inadecuada/o: Selección y capacitación Diseño de sistemas, programación, operación Backups Auditorias I/E

Consecuencia Daño o perdida potencial ante la ocurrencia de una contingencia Algunas consecuencias inmediatas: Imposibilidad de procesar Perdida de archivos y registros Lectura indebida Otras consecuencias mediatas: Legales Económicas/financieras Incidencia en otros sistemas

Tipos de Medidas de seguridad Preventivas Limitan la posibilidad de que se concreten las contingencias Detectivas Limitan los efectos de las contingencias presentadas Correctivas Orientadas a recuperar la capacidad de operación normal

Que tipo de controles pueden efectuarse para aumentar la seguridad? Acceso Físico Acceso Lógico

Métodos de control de accesos Contraseñas Características, fuerzas y debilidades Otros medios de autenticación Impresiones digitales RPV Medidas de geometría de mas manos Iris del ojo

Que es una pista de auditoria? Huella o registro generado automáticamente Orientado a un análisis posterior Permite reconstruir el procesamiento Es un CAMINO HACIA ATRÁS...

Backups y recuperación Hardware Software Algunas preguntas frecuentes De que dependen? Como se manifiestan? Donde se realizan? Cada cuanto deben realizarse?

Que es y como contribuye la criptografía a la SI? Ininteligibilidad a usuarios no autorizados Métodos de encriptación Valiosos para la protección de datos y redes Usan algoritmos matemáticos en función de cadenas validas o passwords

Delitos informáticos Delito de computación Delito en Internet Usa una computadora Objeto del delito Escena del delito Instrumento del delito Delito en Internet Acceso, uso, modificación y destrucción no autorizados de Hard/Soft, datos y recursos de redes Distribución no autorizada de información Copia no autorizada de software ....

Perfil del delincuente informático En base a estudios, su perfil es Joven Mayoría de técnicos jóvenes Ausencia de responsabilidad profesional Mejores y mas brillantes empleados Ocupan puestos de confianza No se encuentran solos. Cuentan con ayuda Aprovecha el abandono de las normas o estándares Síndrome de Robin Hood Juega con el desafío. Reto intelectual

Planes principales de un programa de administración de la seguridad de sistemas Contingencias ES MUY IMPORTANTE EL APOYO DE LA DIRECCION SUPERIOR, SIN CUYO RESPALDO EXPLICITO Y CONTINUO TALES PLANES NO PODRAN SER CUMPLIDOS CON EXITO !¡

Plan de seguridad - PS Conjunto de medidas preventivas, detectivas y correctivas destinadas a enfrentar los riesgos a los que están expuestos los activos informáticos de una organización Su objetivo esencial es proteger los activos informáticos en cuanto a integridad, confidencialidad, privacidad y continuidad

Plan de contingencias - PC Conjunto de procedimientos que luego de producido un desastre, pueden ser rápidamente ejecutados para restaurar las operaciones normales con máxima rapidez y mínimo impacto Es un capitulo del plan de seguridad – Medidas correctivas Objetivos esenciales Minimizar el impacto Promover una rápida recuperación de la operatividad

Matriz de Análisis de Riesgos Como es su estructura? Qué información podemos extraer de ella?

Gracias