SEGURIDAD y CONTROL de SISTEMAS de INFORMACION 16. SEGURIDAD y CONTROL de SISTEMAS de INFORMACION
OBJETIVOS de APRENDIZAJE Explicar porque los sistemas de información son vulnerables a la destrucción, los errores, el abuso y los problemas de control. Comparar los controles generales y de aplicación, y de uso de Internet. Seleccionar los factores a considerar para desarrollar los controles de sistemas de información *
OBJETIVOS de APRENDIZAJE Describir las técnicas más importantes para asegurar la calidad del software. Demostrar la importancia de auditar los sistemas de información y salvaguardar la calidad de los datos. *
RETOS GERENCIALES Reconocer la Vulnerabilidad y el Abuso de los sistemas. Creación de un entorno de control. Cómo asegurar la calidad de los sistemas. *
VULNERABILIDAD Y ABUSO DE LOS SISTEMAS ¿Por qué son vulnerables los sistemas? Hackers y virus Preocupaciones de los constructores y usuarios de Sistemas Problemas de calidad de los Sistemas *
AMENAZAS para los SISTEMAS de INFORMACION Fallas de hardware, Fallas de software, Problemas eléctricos, Incendios, Acciones del personal, Errores de usuarios, Accesos por terminales, Cambios en los programas, Robos de datos, servicios, equipos, Problemas de telecomunicaciones. *
Porque los sistemas son vulnerables Complejidad de los sistemas Los procedimientos computarizados no son fáciles de comprender y auditar Los efectos de un desastre pueden ser mayores que en sistema manual Posibilidad de acceso no autorizado *
HACKERS y VIRUS de COMPUTADORA HACKER: Persona que accede a una red de computadoras para lucrar, causar daños o por placer personal. VIRUS de COMPUTADORA: Programas de difícil detección que se propagan por los sistemas informáticos destruyendo datos, perturbando el procesamiento y la memoria. *
VIRUS COMUNES de COMPUTADORA CONCEPT: Se “pegan” a documentos de Word y se propagan cuando estos se envían por e-mail. Borran archivos. FORM: Produce un sonido cuando se oprime una tecla. Puede alterar datos de los discos flexibles que infecta. ONE_HALF: Altera el disco duro de modo que solo el virus puede leer los datos que contiene. MONKEY: No permite que Windows funcione JUNKIE: Puede infectar archivos y también el sector de arranque del disco duro. RIPPER: Altera datos grabados en el disco duro. *
SOFTWARE ANTIVIRUS Software diseñado para detectar y eliminar virus de computadora de un sistema de información. *
PREOCUPACIONES de los CONSTRUCTORES y USUARIOS de SISTEMAS DESASTRES SEGURIDAD ERRORES *
DESASTRES El hardware, el software, los archivos de datos y otros equipos pueden ser destruidos por incendios, cortes de energia, inundaciones u otros desastres. Medios para contrarrestarlos: Sistemas de computación que toleran fallos. Sistemas de backup. *
SEGURIDAD Políticas, procedimientos y medidas técnicas que se aplican para evitar el acceso no autorizado, la alteración, el robo, o los daños físicos a los sistemas de información. *
Puntos del ciclo de procesamiento donde pueden ocurrir errores. Preparación de datos Transmisión Conversión Llenado de formularios Introducción de datos en línea Exploración óptica u otras entradas. *
Puntos del ciclo de procesamiento donde pueden ocurrir errores. Validación Procesamiento / mantenimiento de archivos Salida Transmisión Distribución *
PROBLEMAS de CALIDAD de los SISTEMAS SOFTWARE y DATOS BUGS: defectos o errores en el código de un programa MANTENIMIENTO: Modificaciones a sistemas que se usan en producción; ocupa casi el 50% del tiempo del personal de sistemas PROBLEMAS de CALIDAD de DATOS: Recomendaciones, corrección de errores. Resultan costosos y tediosos *
Costo de reparar errores durante el ciclo de desarrollo de los sistemas 6.00 5.00 4.00 3.00 COSTOS 2.00 1.00 Análisis Programación Conversión Post-implementación Y diseño
CREACION de un ENTORNO de CONTROL CONTROLES: Todos los métodos, políticas y procedimientos que protegen la seguridad de los activos, la exactitud y confiabilidad de los registros y el cumplimiento de las normas gerenciales. Tipos de Controles: GENERALES APLICACION *
CONTROLES GENERALES IMPLEMENTACION: Auditoria al proceso de desarrollo de sistemas para asegurar que se maneje y controle debidamente. SOFTWARE: Controles para cuidar la seguridad y confiabilidad del software HARDWARE: Controles para cuidar la seguridad física y el correcto funcionamiento del hardware *
CONTROLES GENERALES OPERACIONES de COMPUTACION: Controles que cuidan que los procedimientos programados se apliquen correctamente al almacenamiento y procesamiento de datos. SEGURIDAD de DATOS: Controles que cuidan que los datos grabados no sufran accesos no autorizados, alteraciones o destrucción. ADMINISTRATIVOS: Normas, reglas, procedimientos que aseguran que los controles de la organización se cumplan debidamente. SEGREGACION de FUNCIONES: División de responsabilidades y asignación de tareas, de modo que las funciones no se superpongan. *
CONTROLES de APLICACION ENTRADA PROCESAMIENTO SALIDA *
CONTROLES de ENTRADA AUTORIZACIONES de ENTRADA: Autorización, registro y monitoreo de los documentos fuente CONVERSION de DATOS: Las entradas se deben convertir debidamente en transacciones computarizadas. TOTALES de CONTROL: Control que requiere contar las transacciones o los campos antes del procesamiento para efectuar comparaciones posteriormente. VERIFIACACIONES de EDICION: Rutinas para verificar los datos de entrada y corregir errores antes del procesamiento.
CONTROLES de PROCESAMIENTO Determinan si los datos están completos y son correctos durante la actualización. TOTALES de CONTROL de SERIE: Genera totales de control que se concilian con totales antes y después del procesamiento COTEJO por COMPUTADORA: Compara los datos de entrada con información guardada en archivos maestros *
CONTROLES de SALIDA Madidas que aseguran que los resultados del procesamiento sean correctos, completos y se distribuyan debidamente. Cotejar totales de salida, con los de entrada y procesamiento. Revisar bitácoras de procesamiento Procedimientos formales de destinatarios autorizados de salidas e informes *
SEGURIDAD E INTERNET CIFRADO O ENCRIPTACION: Codificación y transformación de mensajes para evitar el acceso no autorizado. VALIDACION: Capacidad de las partes de una transacción para constatar la identidad de la otra parte INTEGRIDAD del MENSAJE FIRMA DIGITAL CERTIFICADO DIGITAL *
SEGURIDAD E INTERNET TRANSMISION ELECTRONICA INVIOLABLE (SET): Estándar para proteger las transacciones de tarjetas de crédito en Internet DIENRO ELECTRONICO: Fondos que se representan en forma electrónica preservando el anonimato de los usuarios. *
DESARROLLO de una ESTRUCTURA de CONTROL COSTOS: Los controles no deben ser costosos de implementar ni su uso complicado BENEFICIOS: Reducir errores costosos, pérdidas de tiempo, recursos o clientes EVALUACION DE RIESGOS: Determinación de la posible frecuencia de ocurrencia de un problema y del daño que ocasionaría *
AUDITORIA de MIS IDENTIFICA TODOS LOS CONTROLES DE LOS SISTEMAS DE INFORMACION Y EVALUA SU EFICACIA PRUEBAS: realizadas con regularidad y en fases tempranas contribuye a la calidad del sistema. RECORRIDO DEPURACION AUDITORIA DE CALIDAD DE DATOS: Estudio de archivos para verificar que los datos del sistema sean correctos y completos *
Conexión a INTERNET PRESIONE ESTE ICONO PARA CONECTARSE CON EL SITIO WEB DE LAUDON & LAUDON PARA MAS INFORMACION SOBRE ESTE CAPITULO