Introduccion a la auditoria de sistemas de informacion complemento
- 1. INTRODUCCION A LA AUDITORIA DE SISTEMAS DE INFORMACION II http://www.slideshare.net/ingenierocj/introduccion-a-la-auditoria-de- sistemas-de-informacion-complemento
- 2. OBJETIVOS DE LA AUDITORIA INFORMATICA La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
- 3. Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.
- 4. Alcance de la Auditoría Informática El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.
- 5. Características de la Auditoría Informática • La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática. • Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. • Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática. Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
- 6. Tipos y clases de Auditorías El control del funcionamiento del departamento de informática con el exterior, con el usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y eficaz requiere el apoyo continuado de su Dirección frente al “exterior”. Revisar estas interrelaciones constituye el objeto de la Auditoría Informática de Dirección. Tipos y clases de Auditorías • Estas tres auditorías, más la auditoría de Seguridad, son las cuatro Áreas Generales de la Auditoría Informática más importantes. • Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Áreas Específicas de la Auditoría Informática más importantes
- 7. Auditoria Informática de Explotación • La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. • La explotación informática se puede considerar como una fábrica con ciertas peculiaridades que la distinguen de las reales. Para realizar la Explotación Informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad
- 8. Auditoría Informática de Desarrollo de Proyectos o Aplicaciones Revisión del proceso completo de desarrollo de proyectos por parte de la empresa auditada. El análisis se basa en cuatro aspectos fundamentales: Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas Control Interno de las Aplicaciones: Se deberán revisar las mismas fases que presuntamente han debido seguir el área correspondiente de Desarrollo: • Estudio de Vialidad de la Aplicación • Definición Lógica de la Aplicación. • Desarrollo Técnico de la Aplicación. • Diseño de Programas. • Métodos de Pruebas. • Documentación. • Equipo de Programación
- 9. Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario que la solicitó. La aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitará reprogramaciones y disminuirá el mantenimiento de la Aplicación. Control de Procesos y Ejecuciones de Programas Críticos: Se ha de comprobar la correspondencia biunívoca y exclusiva entre el programa codificado y su compilación. Si los programas fuente y los programa módulo no coincidieran podría provocar graves y altos costos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial informativo, etc.
- 10. Auditoría Informática de Comunicaciones y Redes: Revisión de la topología de Red y determinación de posibles mejoras, análisis de caudales y grados de utilización
- 11. Herramientas y Técnicas para la Auditoría Informática • Cuestionarios Conjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos. Características: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.
- 12. Entrevistas La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente
- 13. • Checklist El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas “normales”, que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.
- 14. • Trazas y/o Huellas Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Las trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas
- 15. 2. Riesgos para la información •Existen dos palabras muy importantes que son riesgo y seguridad: •Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas pérdidas para las empresas. •Seguridad: Es una forma de protección contra los riesgos •Los riesgos más perjudiciales son a las tecnologías de información y comunicaciones. •Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistema tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la autenticidad e Integridad de la misma.
- 16. En la actualidad gracias a la infinidad de posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el ámbito de TI se han visto incrementado, bajo estas circunstancias los riesgos informáticos son más latentes. • Fraudes. • Falsificación. • Venta de información. • Destrucción de la información.
- 17. Riesgo. Es la probabilidad de que suceda un evento, impacto o consecuencia adversos. Se entiende también como la medida de la posibilidad y magnitud de los impactos adversos, siendo la consecuencia del peligro, y está en relación con la frecuencia con que se presente el evento. • Factores físicos. (cableado, iluminación, ventilación) • Factores ambientales (incendios, inundaciones, sismos) • Factores humanos (sabotaje, vandalismo, fraude, terrorismo)
- 18. Riesgos para la información Principales atacantes • HACKER: aquella persona experta en alguna rama de la tecnología, a menudo informática, que se dedica a intervenir y/o realizar alteraciones técnicas con buenas o malas intenciones sobre un producto o dispositivo. • CRACKER: Los crackers pueden hacer todo su trabajo buscando tanto recompensas económicas (sustracción de dinero de tarjetas de crédito, estafas online...) como el placer de creerse superiores al resto de la humanidad • LAMMER: tienen poco conocimiento sobre informática y es un aficionado a un tema. Por lo regular las acciones que realizan este tipo de personas es el de visitar varios sitios web • •COPYHACKER: Es una nueva raza solo conocida en el terreno del crackeo de Hardware, mayoritariamente del sector de tarjetas inteligentes empleadas en sistemas de televisión de pago. • BUCANEROS: Son peores que los Lamers, ya que no aprenden nada ni conocen la tecnología. Comparados con los piratas informáticos, los bucaneros sólo buscan el comercio negro de los productos entregados por los Copyhackers • PHREAKER: Este grupo es bien conocido en la Red por sus conocimientos en telefonía. Un Phreaker posee conocimientos profundos de los sistemas de telefonía, tanto terrestres como móviles • NEWBIE: Es un novato o más particularmente es aquel que navega por Internet, que encuentra. • SCRIPT KIDDIE (“Skid kiddie”):Simplemente son internautas que se limitan a recopilar información de la Red
- 19. Bibliografía: • Piattinni, G. M & Peso del E. Auditoría Informática. Un enfoque práctico. Alfaomega • Echenique G. J.A. (2001). Auditoría en Informática. 2da. Ed. Mc Graw- Hill