Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Auditoria III

    Cargado por

    Diana Nieto Anyosa
    26 vistas128 páginas
    Auditoria de sistemas informaticos

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Auditoria de sistemas informaticos

    Copyright:

    © All Rights Reserved
    Descargue como PDF o lea en línea desde Scribd
    Marcar por contenido inapropiado
    26 vistas128 páginas

    Auditoria III

    Cargado por

    Diana Nieto Anyosa
    Auditoria de sistemas informaticos

    Copyright:

    © All Rights Reserved
    Descargue como PDF o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 128
    £98 AUDTTORIA D2 TECNOLOGIAS Y SISTEMEAS DE INFORMACION RAMA 14.9 CUESTIONES DE REPASO. 1 Ambito de Je tarea. En el capitulo TECNICA DE SISTEMAS se cireunscribe a... Todo los que tiene que ver con Jos SI (Sistemas de Informaciéa) 1b) Infraestructures (lo que se necesita para que las Aplicaciones funcionen) Sélo lo referente a Centos de Procesos de Datos (CPD) 2. Definieién de te foneién 2) La explotacién de las Aplicaciones ') La adguisicia y el mantenimiento de las Aplicaciones ©) Lainsialacion y el mantenimiento dela Infrastructure Informstica 3. Elnivel de servicio ®) Le Técnica de Sistemas debe garantizar el udecuado fincionamiento de la inikuestructura b) La Téenioa de Sistemas debe gurantizar la fisbilidad de las Aplicaciones ©) El nivel de servicio no es Jo més importante de un Sistema de Infortmacion 4 Los procedimientos 8) Una tarea organizada se descompone en una serie de actividades o acciones 1) Los procedimientos determinan cémo realizar determinadas acciones ©) Las dos respuestas anteriores son corectas DRAMA 8 CCAnITULO 14, AUDETORIA DE TECNICA DE SISTEMAS £39, Los controles 4) No sirven para prevenir problemas 1b) Verifican la existencia de procedimientos y su cumplimaiento ©) Nosirven para mejorar Auitorfa de la funcién 8) Recoger evidencias que justifican sus recomendaciones B) Notiene que ver eon nosotros ©) Las dos respuestes anteriores soa correctas Consideraciones sobre Ia tecnologia y su evotucién 8) La evohicign tocnolégica inoremena la necesidad de control 1) La presién reguatoria hace innecessros los controles ©) La externalizeci ‘Seguridad de los SL (© outsourcing) no tiene futuro en el érea de la ‘Algunas referencias 8) ITIL, CoaiT e 180 son lo mismo b) ITIL, CosiT e ISO son incompatibles IL, COBIT ¢ 1SO desartollan paradigmas de control diferentes Capituto 15 AUDITORIA DE LA SEGURIDAD ——— eee Miguel Angel Ramos Gonzélez 15.1 INTRODUCCION Pensando en entomo tecuolégicos, para muchos la seguridad puede ser ef free prineipal a auditar, y la reali de ausitoria informética para revisar la seguridad, si bien con el peso Iegedo 2 abarear controles relacionados con Jos sistemas de informaci auditorias de seguridad de datos personales. En las dos primeras ediciones de esta obra, euyo titulo eta Auditoria Informética, y deniro del capitulo equivalente 2 éste, se trataba la auditoria de la seguridad informética, si bien el capitulo y la propia obra abarcaban otros aspectos dificiimente separables, como las comunicaciones. Ei titulo actual de lz obra, Auditoria de las Tecnologias y Sistemas de Informacién, no deja lugar a dudas, ests més acorée con la redlided actual y permite interpretar que abarca la Informética y otras éreas nadas con los sistemas de informacién, incluidos datos no antomatizades y sus procesos ccomespondientes. En musstra opinién —discutible- la diferencia entre Auditoria de la seguridad dentro de Ja Auditoria Informétice y la Auditoria de la seguridad dentro relacionado con la seguridad, centros, yen el caso de la Auditoria de Sistemas de Informacién referida a la seguridad, puede abarcar lo anterior, més la evaluacién de 1a proteccién de si de informacién no automatizados 6 sélo parcialmente, y de procesos y datos relacionados con es0s sistemas, aunque sea procesos y ficheros manuales. En el caso de um sistema no automatizado, ni siquiera parcialmente, y por tanto sin procesos relacionados con la Informética, no serian eplicables los ccontroles y revisiones referidos a las tecnologia, pero tal vez sa filosofi, si bien casi es impensable une auditoria sin tecnologia, porque en le prictica los auditores usariamos al menos un procesador de textos, ¥ en todo caso Io cierto es que en el ‘Ambito empresarial y de administraciones pablicas son escasos los sistemes que no stan soportados por la tecnologia, Ilegando a existir sistemas en los que todos sus procesos estfa relacionadas con le tecnologia, como en algunos casos de comercio clectrénico, o ciertos procesos industrials totalmente automatizados. definieiones, fa norma ISO 7498-2 ya indicaba que Auditoria Ina revsién'y examen independientesrespecto a los regisros sistema a fn de veriicar si Tos controles del sistema son ‘adeouados, para garantizar el cumpliniento con la politica establecida y con los Procedinientos operatives, para detector problemas de seguridad y para y actividedes de OBAMA CAPITULO 15. AUDTTORLA DE LA SEGURIDAD £43 recomendar posibles cambios en los controles, en la politica y en los procedimientos”. Proceso por el que se recogen y evaliian evidencias para determinar sin sistema informético salvaguarda los activos, mantiene la integridad de los datos, aleanea las metas empresariales de manera efectiva y consume las recursos de win modo considers vilido el consentiniento tito para el reo de datos personals, Fo aust deci que se puede noticar alos imereaos qu sts Gatos van aeraaan una serie de eriterios y tacito se pueda considera Reglamento se apruebe definitivamente 0 no, deben de estudiarse © implantarse ya que constituyen el ‘valida que, Tndspenlouemer riterio de la Agencia Espaficla de Proteccién de Datos para considerar valida esta forma de obtencién de] consentimiento. ‘22 AVDrTORIA DE TECNOLOGIAS YSISTEMAS DE INFORMACION oRAMA, En Uinees generales, se podrit entimiento del interesado irigiéndose al mismo e informéndole previstos en los articulos 5 de la LOPD, concediéndole un plazo dé ra manifestar su negetiva al ‘de que en 350 de no promunciase 2 tal efecto se ‘manifestar su negative al tratamiento ds no supone ninguna eomplicacién. En relacién con un tratamiento de datos muy abi suscripcién y envio de boletines de noticias, habri que garentizar el interesado y asegurarse de que pueden dar efectivemente de baj en cualquier momento, lo que implica informartes de esta posibilidad en cada envio del boletin. En todo caso, bay que tener en cuenta que cuando se trata de datos especialmente protegidos o sensibles, el nivel de protecoién que la ley les otorga es mis clevado y cuando los mismos se traten en bese al conscatimiento éste no podrd Ser tito sino que deberé ser expreso y afirmativo. De cualquier manera, para evitar posible problemas en el futuro, ya sea por <éenuncias 0 por inspecciones de ia autoridad de protecci6n de datos competente, es necesario couservar prueba de la prestaciéa del consentimiento por parte del interesado para poder demostrar en todo momento que los datas se han tratado ‘egitimamente. 17.2.4 Informacién al interesado Oo yen el que las autoridades de proteccitin de datos ponen un én los tratanientos 0, en el articulo 5 dé en datos person e ‘nequtvoco: ) De ind de la recogda de estos de los destnatris informacién. b)' Del eardeter obligatorio 0 facultativo de su res eRAMA LcariTs10 17. AUDITORIA DE INTERNET 523 direcciéin del responsable del tratamiento 0, en su caso, de su representante”.(..j 2. Cuarido se ulilicen cuestionarios u otros impresos para la recogida, figurarin Por lo tanto, el deber de suministrar informaciém a las personas cuyos datos se recogen a través de Intemet se describe claramente y de forma detallada en la : control revisan eon especial jresados pues elle es la base para valldo ono el consentimiento que hay podido dr elitr de los tos y transparente, indicando de datos personales y si se con qué propésito, ofreciendo siempre al interesado la de oponere ono da su conseatneno a fnalifadernocnedadas oon inicial de la recogide, mundo on-ting cal gue se win con ffonensia frmulerios ice este medio para recoger Asbiendo constar la leyenda informative coun lugar claamente visible y igi Por otra parte, si obtenemos datos personsles por ejemplo, mimeros de ‘léfonos mviles o dieecones de comeo electico- de Thnts acoesible al de la que se tomaron Jos datos, a identida del responsable del tratamiento yy los derechos que asisten alos interesados. Para resaltar Ja importancia de este apartado sobre Ia informacion a los lecido en e} articulo 29 de la Directive de Proteccién de Datos (por lo ‘que es conocido como Grupo de Trabajo del Articulo 29 0 GT29) y que agrupa 2 todas las autoridades de proteccidn de datos de los Estados miembros de la Unién 524 AUDLTORIA DE TECNOLOGIAS Y SISTEMAS DEINFORMACION RAMA Europes, ha dedicado varios documentos 2 este tema, entre Ios que merece la pena resq[tar Ia Recomendacién sobre determinados requisitos minimos para la recogida cen linea de datos personales en la Unién Buropea (WP 43, aprobada el 17 de mayo de 2001) y el Dictamen sobre una mayor emonizacién de las disposiciones relativas @ le informacién (WP100, sprobado el 25 de noviemibre de 2004)'™. fzds el de mis interés para el tema En relacidn con el primero de ‘que nos ocupa, Iss autoridades europe auias sobre eémo deberfa de abordarse la informacién ¢ los interesados cuando se recogen sus datos a través de Internet. Ea conereto, en relacién con la informacién que se debe facilitar al interesado y el momento de haved, €l GT29 afiema que toda recogida de datos personales a través de una pégina web implica la necesided de suninistar determinada informacién al interesado y sefiale que para cumplir dicha obligacién ‘© Declarar la identidad y las direcciones postal y electrénice del responsable del tratamiento. © Indicer claramente para qué fines de tratamiento tecot wavés de un sitio web. Por een rocogen tanto para firmar un contrato Serkg recto, al serponsble del" oatamicte debe. indent claramente ambos fines. ‘+ Especificar claramente si Ja informacion solicitada es ia es aqualla necesaria para prestar el servicio ‘La naturaleza obligatoria u opcional se puede indicar maneras (con um asteriseo al lado de los campos obligatorios 0 ional” junto a la informacién no obligatoria). e informacion opcionel no debe izasse en su contre, ‘Adem, el que el interesado nc evar aparejado ringtin perjuicio 0 = Mencionar la. existencia de los derechos de consentimiento w ‘oposicién, segrin el caso, respecto al tratamiento de datos personales, y ° aus doen s punt opti an apenas bee engsonS ete oRAMA, En el caso de que se pueds ejereer el derecho de o deberin tener Ia posibilidad real de oponerse a el CAPITULO 17, AUDITORIA DE INTERNET 525, de las condiciones para ejercer tales derechos esi como los de acceso, rectificacién y cancelacién de datos. Informer sobre la persona io al que acuclr para ejercer estos derechos y sobre la posii jercerlos tanto en linea como en ia Aireccion postal del responsable del tratamiento. Enumerar Ios destinatarios y cesionarios 0 las categorfas de comunicaria 0 pondrén & sap cempresarales,filiales, ete, y por qué motivo, sefislando si se trata de fines distintos de aquellos que motivan la recogida de datos o de ‘marketing directo. va ala commicacién de datos para fines lictado, Puesto que el derecho de jomenta, la posibilidad de ejerverio en Ia prestacién del ién se puede cjercer en también deberia indicarse tis infrmacidn felitada al nteresado. Si se prevé que el responseble de 1os datos transfiera dichos datos a ppalses no miembros de la Unién Europea, indicar si estos paises offecen o no una adecuada proteceiém de los intresados en cuanto al Ja identidad y la dire electrénic), de los destinatarios (direcviGn postal 0 Proporcionar ef nombre y Ia direccién (postal y electrénica) del servicio o la persona responsable de responder a les preguntas relacionadas con Ia proteccién de las datos personales. “Mencionar con claridad Ta existencia de procedimientos aurométicos de recogida de datos, -come cookies 0 contenido activo- antes de usar dichos métodos'”. Cuando se utilicen tales procedimientos, el " La ton de mtados fale como spect 0 WERSURS es eb , por ata, no dhe eee S24 AUDITORIA DE TECNOLOGIAS Y SISTEMAS DE INFORMACION, RAMA ‘ransmite los procedimientos autométicos de recogid, la in

    También podría gustarte