Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches

Slides:



Advertisements
Presentaciones similares
INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
Advertisements

SEMINARIO DE AUDITORÍA INTEGRAL
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
Seguridad Informática
information technology service
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Control Interno Informático. Concepto
Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.
Auditoría Informática
¿Qué es ITIL? “Information Technology Infrastructure Library”
PROGRAMA DE AUDITORIA DE SISTEMAS
Sisdata, C.A..
PROCESOS ITIL Entrega Soporte Usuario Cliente Gestión de niveles
AUDITORÍA INFORMÁTICA - SEGURIDAD
AUDITORIA TECNOLOGIAS DE INFORMACION
AUDITORIA DE SISTEMAS Conceptos introductorios
Medición, Análisis y Mejora
Auditoria Informática Unidad II
Metodologías de control interno, seguridad y auditoría informática
Evaluación de Productos
Eveline Estrella Zambrano Sara Alvear Montesdeoca
Auditoría de Sistemas y Software Trabajo Práctico ITIL Alumnas: Ayude Mariela Fernandez Alicia Malagrino Natalia.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS
Prácticas de dirección y gestión de servicios de TI
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
“Adopción de SGSI en el Sector Gobierno del PERÚ”
Glosarios de términos. TI: Tecnologías de información. Es la adquisición, procesamiento, almacenamiento y difusión de información de voz, imagen, texto.
SEGURIDAD INFORMÁTICA
Metodología de Control Interno, Seguridad y Auditoría Informática
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar.

AUDITORÍA INTERNA Y SU INTERRELACIÓN CON AUDITORÍA EXTERNA EN LA UNIVERSIDAD. Febrero de 2004.
Gestión de la Continuidad del negocio BS BCI
Entrega de Servicios de TI1Copyright 2008 Tecnotrend SC Entrega de Servicios de TI.
COBIT 4.1 SISTESEG.
Unidad 5 EL CENTRO DE PROCESAMIENTO DE DATOS Y LA SEGURIDAD EN LA AUDITORÍA INFORMÁTICA.
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
Gestión eficiente de las tecnologías de información con metodología ITIL: un marco inicial para la administración de Aleph Mtro. Gerardo Morales Sánchez.
Análisis y diseño detallado de aplicaciones informáticas de gestión
Auditoria en la infraestructura y seguridad de la información
INDUCCIÓN AL SISTEMA DE GESTIÓN DE CALIDAD
Programa de Auditoría Interna
35 años de investigación, innovando con energía 1 Mayo, 2012 P LAN DE ASEGURAMIENTO DE LA CALIDAD DEL DESARROLLO DE SOFTWARE E STÁNDAR IEEE 730 Y G UÍA.
Seguridad de la Información Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una.
2.1 Definición & Antecedentes
UNIVERSIDAD LATINA II. FUNCIONES DEL ADMINISTRADOR.
KAREN GOMEZ LINA ESPAÑA. Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas.
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Procesos itil Equipo 8.
(Control Objectives for Information and related Technology)
Jenny Alexandra Marin Luis Carlos Avila Javier Murcia
Daniela Ovando Santander Auditoria de Sistemas
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
Objetivos de Control para Tecnologías de información y relacionadas.
EXPOSITOR L.C. EDUARDO M. ENRÍQUEZ G.
SISTEMAS DE INFORMACION ORGANIZACIONAL
Control Interno dentro de las Instituciones Financieras Presentado por: LSCA Manuel Llano - CISA, CRISC Socio Líder de Consultoría de TI Salles, Sainz.
Universidad Latina CONTROL INTERNO.
EVALUACIÓN DE CALIDAD DEL SOFTWARE Y GOBIERNO EN LÍNEA EN PORTALES WEB APLICANDO PROCESOS DE AUDITORÍA.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
VI. EVALUACIÓN DE LOS RECURSOS
Ingeniería del Software
Transcripción de la presentación:

Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino Torres

Introducción La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Auditoría La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo

Tipos de Auditorias Áreas Específicas Áreas Generales Explotación Desarrollo Sistemas Comunicaciones Seguridad Interna Dirección Usuario Seguridad Áreas especificas. Desde su propio funcionamiento interno. Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta. Desde la perspectiva de los usuarios, destinatarios reales de la informática. Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada. Estas combinaciones pueden ser ampliadas y reducidas según las características de la empresa auditada.

Metodología de auditoría informática Alcance y objetivos Estudio inicial del entorno auditable Determinación de los recursos Elaborar plan y programa de trabajo Actividades de auditoría Informe final Carta de presentación del informe Alcance:: Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. Estudio Inicial:: Organigrama Departamentos Relaciones jerárquicas Flujos de información Numero de puestos de trabajo Numero de persona por puestos de trabajo Determinación de recursos:: Recursos materiales  Materiales software + materiales hardware Recursos Humanos  general, desarrollador, técnico de sistemas, DBA, ingeniero redes ,etc.

Objetivo General de Auditoría de sistemas Operatividad 100%

Herramientas para Auditoría informática Cuestionarios Entrevistas Check list (de rango y binario) Trazas Software de interrogación

Consideraciones para el éxito del análisis crítico Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento) Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados.

Investigación preliminar No tiene y se necesita. No se tiene y no se necesita. Se tiene la información pero: No se usa. Es incompleta. No está actualizada. No es la adecuada. Se usa, está actualizada, es la adecuada y está completa

Informe Después de realizar los pasos anteriores y de acuerdo a los resultados obtenidos, el auditor realizará un informe resultante con observaciones y/o aclaraciones para llevar a cabo dentro de las áreas involucradas para el mejor funcionamiento del sistema.

Auditoria de Datos La auditoría de datos habilita a una organización la identificación de quien crea, modifica, elimina y accede los datos, cuando y como son accedidos. O bien, la estructura de los datos. La sola existencia de auditoría de datos tiene un efecto disuasivo en los intrusos de los datos.

Auditoria de datos: una forma de vida Su presencia debe ser parte integral de las operaciones de los servicios informáticos en una organización en el día a día.

Auditoría de datos: Mejores prácticas (1) Responsabilidad segregada El equipo responsable de auditar un sistema debe ser distinto a aquel que lo administra y lo utiliza Mantener el Sistema de Auditoría de Datos Independiente Nada ni nadie debe ser capaz de alterar un log de auditoría Hacerla Escalable, Ampliable y Eficiente La plataforma de auditoría de datos debe acomodarse al crecimiento y la adición de nuevas fuentes de datos

Auditoría de datos: Mejores prácticas (2) Hacerla Flexible Los requerimientos de auditoría cambiarán; asegúrese que se pueda responder rápida y fácilmente a esos cambios desplegando un marco de auditoría flexible Gestión Centralizada Una plataforma de auditoría de datos debe ser capaz de auditar múltiples bases de datos en múltiples servidores físicos

Auditoría de datos: Mejores prácticas (3) Asegurar la Plataforma de auditoría de Datos La plataforma de auditoría por si misma no debe tener “puertas traseras de acceso” a sus propios datos ni permitir el acceso por dichas puertas traseras a los datos de cualquiera de las bases de datos que monitorea. Identificación de los Datos Se debe establecer y mantener un inventario de todos los datos, incluyendo aquellos provenientes de fuentes externas

Auditoría de datos: Mejores prácticas (4) Análisis de los Datos Determine los roles, vulnerabilidades y responsabilidades relativas a todos los datos. Hacerla Completa La política de auditoría de datos necesita abarcar todos los datos dentro de una organización, incluyendo todos los datos de aplicación, los datos de comunicaciones incluyendo los registros de correos electrónicos y mensajes instantáneos, registros de transacciones y toda la información que pasa hacia o alrededor de una organización tanto desde dentro como desde afuera

Auditoría de datos: Mejores prácticas (5) Habilitación de Reportes y Análisis Establecimiento de Patrones de Uso Normal Establecimiento de una Política de Documentación y Revisión La auditoría de datos implementada directamente para satisfacer mandatos de reguladores debe referirse directamente a los elementos de las regulaciones que satisface: (Sarbanes-Oxley, HIPAA, GLBA, etc.).

Auditoría de datos: Mejores prácticas (6) Monitorear, Alertar, Reportar Dependiendo del riesgo, se deben atar los eventos o datos anormales a los sistemas de alerta y, en algunos casos disparar alarmas en tiempo real. Incrementar y Complementar la Seguridad La auditoría de datos incrementa y complementa los niveles de la seguridad de los sistemas de IT Respaldo y Archivo Los LOG de Auditoría, por si mismas, deben ser respaldadas y lo ideal, almacenadas en una sitio remoto

Auditoría de datos: Mejores prácticas (7) Crear Procedimientos para la Operación y para la Recuperación ante Desastres Es necesario crear políticas y procedimientos que gobiernen cómo se accede a las pistas de auditoría y cómo se recuperan los datos perdidos Todas las operaciones de recuperación también deben ser auditadas.

Conclusión El acceso no autorizado o cambios desconocidos a los datos de una organización pueden debilitar o arruinar una empresa. El robo, error, pérdida, corrupción o fraude de los datos puede costarle a una compañía su reputación, sus ganancias, o ambos. La auditoría de datos no solamente protege los datos de una organización, sino que asegura la responsabilidad, la recuperación y la longevidad de los sistemas que dependen de los datos.

Estándares de Seguridad de la información ISO/IEC 27000-series COBIT ITIL

ISO/IEC 27000-series La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).

COBIT Objetivos de Control para la información y Tecnologías relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) Es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoria y Control de Sistemas de Información, (ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute) en 1992.

ITIL La Information Technology Infrastructure Library ("Biblioteca de Infraestructura de Tecnologías de Información"), frecuentemente abreviada ITIL. Es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.