Auditoría y seguridad informática
Descargar como DOCX, PDF1 recomendación621 vistas
Este documento describe la auditoría informática y la seguridad informática. Explica que la auditoría informática garantiza la confidencialidad, disponibilidad e integridad de la información de una organización. Detalla las etapas de una auditoría informática incluyendo la planificación, ejecución y conclusiones. También cubre las certificaciones de ISACA para auditores informáticos y marcos como COBIT. Concluye destacando la importancia de la capacitación continua y el uso de estándares para realizar auditorías informáticas efectivas.
Auditoría y seguridad informática
- 1. UNIVERSIDAD AUSTRAL DE CHILE Facultad De Ciencias Económicas Y Administrativas Instituto De Administración Escuela De Auditoría Auditoría y Seguridad Informática. Nombre: Martín Miranda V. Asignatura: Sistema de Información Administrativa (ADMI 274). Docente: Cristian Salazar C. 09 de julio de 2014
- 2. 2 INTRODUCCION. Las organizaciones informáticas forman parte de lo que se ha denominado el management o gestión de la empresa y debido a esto y a su importancia en el funcionamiento existe la Auditoria Informática, la cual garantiza a cada una de las entidades la confidencialidad, disponibilidad e integridad de la información. Del mismo modo, esta información debe encontrarse protegida ya que constituye uno de los activos más valiosos de la empresa y siempre tiene que estar ajena a distintos peligros o amenazas, tales como robo, plagio, manipulación indebida y alteración de la misma. Cabe destacar que no cualquier profesional puede realizar una auditoría de seguridad informática, ya que deben ser profesionales certificados por medio de la ISACA, la cual establece como prerrequisito tener el Título de Contador Auditor o Ingeniero Informático. Finalmente, es necesario como futuro profesional insertado en el área de los negocios, conocer, entender y manejar qué es ISACA y cuáles son las certificaciones que como auditor podemos llegar a manejar.
- 3. 3 ÍNDICE Página (s) Seguridad Informática. 4 Auditoría Informática. 4 Metodología de una Auditoría Informática: a) Planificación. 5 b) Ejecución. 5 c) Conclusiones. 5 ISACA: Asociación de Auditoría y control de sistemas de información: a) Certified Information Systems Auditor (CISA) 6 b) Certified information Security Manager (CISM) 6 c) Certified in the Governance of Enterprise IT (CGEIT) 6 d) Certified in Risk and Information Systems Control (CRISC) 6 Principales Estándares de Seguridad Informática Nacionales. 7 Principales Estándares de Seguridad Informática Internacionales. 7 Relación entre Auditoría informática y el COBIT. 8 Conclusiones. 9
- 4. 4 SEGURIDAD INFORMÁTICA: La Seguridad Informática se refiere a las características y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad. Considerar aspectos de seguridad significa: a) conocer el peligro, b) clasificarlo y c) protegerse de los impactos o daños de la mejor manera posible. Esto significa que solamente cuando estamos conscientes de las potenciales amenazas, agresores y sus intenciones dañinas (directas o indirectas)en contra de nosotros, podemos tomar medidas de protección adecuadas, para que no se pierda o dañe nuestros recursos valiosos. En resumen, La seguridad informática la podríamos definir como el conjunto de hardware, software y procedimientos establecidos para asegurar que: a) Personas no autorizadas no accedan a lo que no deberían ver. b) Personas autorizadas no ponen en peligro el sistema y los datos. AUDITORÍA INFORMATICA: Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Este proceso es llevado a cabo especialmente por profesionales altamente capacitados y certificados por ISACA en temas sistemas de información. Este proceso consiste en: a) El análisis de la eficiencia de los Sistemas Informáticos. b) La verificación del cumplimiento de la Normativa en este ámbito. c) La revisión de la eficaz gestión de los recursos informáticos. El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.
- 5. 5 METODOLOGIA DE UNA AUDITORÍA INFORMÁTICA Dentro de las etapas en la cual se desarrolla una auditoría informática, podemos distinguir 3 fases importantes: a) Planificación: comprende desde el conocimiento y comprensión de la organización hasta la formulación y aprobación del plan de auditoría. b) Ejecución: aquí se obtiene y analiza toda la información del proceso que se audita, con la finalidad de obtener evidencia suficiente, competente y relevante, es decir, contar con todos los elementos que le aseguren al auditor el establecimiento de conclusiones fundadas en el informe acerca de las situaciones analizadas en terreno, que entre otras incluyan: el nivel efectivo de exposición al riesgo; las causas que lo originan; los efectos o impactos que se podrían ocasionar al materializarse un riesgo y, en base a estos análisis, generar y fundamentar las recomendaciones que debería acoger la Administración. c) Conclusiones: Es la etapa en la que se dan a conocer los resultados obtenidos en el proceso de la auditoria.
- 6. 6 ASOCIACION DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACION, ISACA. ISACA apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de Gobierno de las Tecnologías de Información, Auditoría, Riesgos, Controles y Seguridad de Sistemas de Información. Actualmente cuenta con más de 110.000 miembros en todo el mundo y con presencia en alrededor de 80 países. Entre las certificaciones internacionales podemos encontrar: a) Certified Information Systems Auditor (CISA): La designación CISA es una certificación reconocida globalmente para profesionales en auditoría, control, aseguramiento y seguridad en SI. b) Certified information Security Manager (CISM): Lacertificación CISMestá enfocada en la gestión, además promueve prácticas internaciones de seguridad y reconoce a la persona que administra, diseña, supervisa y evalúa la seguridad de la información de una empresa. c) Certified in the Governance of Enterprise IT (CGEIT): Acredita una amplia variedad de profesionales por su conocimiento y aplicación de prácticas y principios de gobierno de TI de la empresa. d) Certified in Risk and Information Systems Control (CRISC): La certificación CRISC está diseñada para aquellas personas expertas en gestión de riesgo de tecnología y negocio, así como el diseño, la implementación, el monitoreo y el mantenimiento del control de SI.
- 7. 7 PRINCIPALES ESTANDARES DE SEGURIDAD INFORMATICA NACIONAL Ley N°19.223, sobre delitos informáticos. PRINCIPALES ESTANDARES DE SEGURIDAD INFORMATICA INTERNACIONAL ISO/IEC 27000: Son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La mayoría de estas normas se encuentran en preparación, e incluyen: a) ISO/IEC 27001: es la Norma que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. La gestión de la seguridad en la información se complementa con las buenas prácticas o controles establecidos en ISO 27002. b) ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Este estándar internacional va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo.
- 8. 8 RELACION ENTRE AUDITORÍA INFORMATICA Y EL COBIT. Objetivos de Control para Información y Tecnologías Relacionadas (COBIT) es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de lainformación (TI). Mantenido por y el IT Governance Institute (ITGI), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión. Es un modelo de evaluación y monitoreo que seenfoca en elcontrol de negocios y laseguridad de las TI, y que abarca controles específicos de TI desde una perspectiva de negocios. Su misión es investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados de las tecnologías de información que sean autorizados, actualizados e internacionales para el uso de los gestores de un negocio y los auditores. Entre sus características más importantes encontramos que está orientado al negocio, está alineado con estándares y regulaciones de facto, además está basada en una revisión crítica y analítica de las tareas y actividades en TI, y finalmente que se encuentra alineado con estándares de control y auditoría.
- 9. 9 CONCLUSIONES. Se puede deducir que la Auditoría Informática es un elemento clave para que una empresa cuide uno de los activos más valiosos, la información; realizando para ello, distintos tipos de pruebas de auditoría que en conjunto se pueda concluir cómo está operando actualmente los sistemas y cuáles son sus riesgos existentes y potenciales. Para poder realizar todo esto y llevar a cabo una auditoría de manera efectiva es necesaria la capacitación, ya que hace que el profesional sea mucho más competente y se encuentre a la vanguardia de las Tecnologías de Información. Cabe mencionar la importancia de los Auditores y de los ingenieros informáticos en este tema, y de sus habilidades propias de su profesión, sin embargo es imprescindible avanzar aún más y capacitarse en ISACA y así poder llevar a cabo una auditoría de sistemas de información de manera efectiva. Finalmente, hay que destacar el COBIT como modelo guía en éstas prácticas, ya que nos entrega un estándar que entre sus características más importantes está el hecho de orientarse al negocio, está alineado con estándares y regulaciones de facto, además está basada en una revisión críticay analíticade las tareas y actividades en TI, y finalmente que se encuentra alineado con estándares de control y auditoría.