Está en la página 1de 8

AUDITORIA DE SISTEMAS

MOMENTO INICIAL
RECONOCIMIENTO DEL CURSO

PRESENTADOR POR:
JOSE GABRIEL CHIMA MOSQUERA
CC: 1.027.998.887

GRUPO:
90168_65

TUTOR:
FRANCISCO NICOLS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD


CEAD-TURBO
ESCUELA DE CIENCIAS BSICAS DE TECNOLOGA E INGENIERA
(FECHA) 18-8-2015

DESARROLLO
Vulnerabilidad?
En un sistema informtico lo que queremos proteger son sus activos, es decir, los
recursos que forman parte del sistema y que podemos agrupar en:

Hardware: elementos fsicos del sistema informtico, tales como


procesadores, electrnica y cableado de red, medios de almacenamiento
(cabinas, discos, cintas, DVD).

Software: elementos lgicos o programas que se ejecutan sobre el


hardware, tanto si es el propio sistema operativo como las aplicaciones.

Datos: comprenden la informacin lgica que procesa el software haciendo


uso del hardware. En general sern informaciones estructuradas en bases
de datos o paquetes de informacin que viajan por la red.

Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y


gastan' como puede ser la tinta y papel en las impresoras, los soportes tipo
DVD o incluso cintas si las copias se hacen en ese medio, etc.

De ellos los ms crticos son los datos, el hardware y el software. Es decir, los
datos que estn almacenados en el hardware y que son procesados por las
aplicaciones software.

Datos.
Informacin.
Conocimiento.
Accin.
Resultado.
Valor.

Incluso de todos ellos, el activo ms crtico son los datos. El resto se puede
reponer con facilidad y los datos. Sabemos que dependen de que la empresa
tenga una buena poltica de copias de seguridad y sea capaz de reponerlos en el
estado mas prximo al momento en que se produjo la prdida. Esto puede
suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer
dichos datos con lo que conllevara de prdida de tiempo y dinero. Tambin una
vulnerabilidad informtica es una debilidad de un sistema informtico, permitiendo
o dejando espacios o entradas hacia el sistema por parte de personas ajenas al
sistema, mismos que pueden ocasionar daos severos al sistema as como violar
la privacidad, integridad etc. Del sistemas o de sus datos y aplicacin. Estas

vulnerabilidades en ocasiones son ocasionadas por fallos del mismo diseo del
sistema o incluso de configuracin del mismo.
3 TIPOS DE VULNERABILIDADES EXISTENTES.
Error de diseo: Este tipo de vulnerabilidades se generan a partir de un error de
diseo por parte de los programadores que realizan el sistema, esto es debido al
entorno de trabajo o bien por su metodologa de programacin empleada.
configuracin: Este tipo de vulnerabilidad ya no es causado por el diseo del
sistema sino este es generado por el usuario del sistema debido a la mala
configuracin realizada dentro del sistema, dejando vulnerable el sistema.
Inyeccin de comandos en el sistema operativo: Este tipo de vulnerabilidades,
es generada por parte de un usuario con capacidades especiales y que tienen los
conocimientos necesarios para controlar la entrada del sistema mediante
comandos para poder ejecutar instrucciones que pueden comprometer la
integridad del sistema este accin se realiza mediante una herramienta
especializada o a travs de una terminal Linux o Windows.
Amenaza y Riesgo Informtica?
Es importante en toda organizacin contar con una herramienta, que
garantice la correcta evaluacin de los riesgos, a los cuales estn sometidos los
procesos y actividades que participan en el rea informtica; y por medio de
procedimientos informtico. Viendo de control se pueda evaluar el desempeo del
entorno la necesidad en el entorno empresarial de este tipo de herramientas y
teniendo en cuenta que, una de las principales causas de los problemas dentro
del entorno informtico, es la inadecuada administracin de riesgos informticos,
esta informacin
sirve de apoyo para una adecuada gestin
de
la
administracin de riesgos, basndose en los siguientes aspectos:

La evaluacin de las amenazas causas de los riesgos.


Los controles utilizados para minimizar las amenazas a riesgos.
La asignacin de responsables a los procesos informticos
La evaluacin de los elementos del anlisis de riesgos.

Se entiende como riesgo informtico un estado de cualquier sistema que nos


indica que ese sistema est libre de peligro, dao o riesgo. Se entiende como
peligro o dao todo aquello que pueda afectar su funcionamiento directo o los
resultados que se obtienen del mismo. Para que un sistema se pueda definir como
seguro debe tener estas cuatro caractersticas:

Integridad: La
autorizado.

informacin

slo

puede

ser

modificada

por

quien

est

Confidencialidad: La informacin slo debe ser legible para los


Autorizados
Disponibilidad: Debe estar disponible cuando se necesita.
Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autora.
Dependiendo de las fuentes de amenaza, la dividirse en seguridad lgica y
seguridad fsica.
RIESGOS RELACIONADOS CON LA INFORMATICA
En efecto, las principales reas en que habitualmente ha incursionado la
seguridad en los centros de cmputos han sido:

Seguridad fsica.
Control de accesos.
Proteccin de los datos.
Seguridad en las redes.

Por tanto se ha estado descuidando otros aspectos intrnsecos de la


proteccin informtica y que no dejan de ser importantes para la misma
organizacin, como por ejemplo

Organizacin y divisin de responsabilidades.


Cuantificacin de riesgos.
Polticas hacia el personal.
Medidas de higiene, salubridad y ergonoma.
Seleccin y contratacin de seguros.
Aspectos legales y delitos.
Estndares de ingeniera, programacin y operacin.
Funcin de los auditores tanto internos como externos.
Seguridad de los sistemas operativos y de red.
Plan de contingencia.

A los fines de llevar una revisin completa y exhaustiva de este tema, se propone
que los especialistas en seguridad informtica apliquen un enfoque amplio e
integral, que abarque todos los aspectos posibles involucrados en la temtica a
desarrollar, identificando aquellos concernientes a garantas y resguardos, y,
despus de haber efectuado un anlisis exhaustivo de los mismos, presentarlos
en detalle y agrupados convenientemente.

CONTROL INFORMTICO?
Definiciones
El Control Interno Informtico puede definirse como el sistema integrado al
proceso administrativo, en la planeacin, organizacin, direccin y control de las
operaciones con el objeto de asegurar la proteccin de todos los recursos
informticos y mejorar los ndices de economa, eficiencia y efectividad de los
procesos operativos automatizados.
El Informe COSO define el Control Interno como "Las normas, los procedimientos,
las prcticas y las estructuras organizativas diseadas para proporcionar
seguridad razonable de que los objetivos de la empresa se alcanzarn y que los
eventos no deseados se prevern, se detectarn y se corregirn.
Tambin se puede definir el Control Interno como cualquier actividad o accin
realizada manual y/o automticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para
conseguir sus objetivos.
OBJETIVOS PRINCIPALES:

Controlar que todas las actividades se realizan cumpliendo los


procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas

Colaborar y apoyar el trabajo de Auditora Informtica interna/externa

Definir, implantar y ejecutar mecanismos y controles para comprobar el


grado ce cumplimiento de los servicios informticos.

Realizar en los diferentes sistemas y entornos informticos el control de las


diferentes actividades que se realizan.

Tipos
En el ambiente informtico, el control interno se materializa fundamentalmente en
controles de dos tipos:

Controles manuales; aquellos que son ejecutados por el personal del rea
usuaria o de informtica sin la utilizacin de herramientas computacionales.

Controles Automticos; son generalmente los incorporados en el


software, llmense estos de operacin, de comunicacin, de gestin de
base de datos, programas de aplicacin, etc.

Los controles segn su finalidad se clasifican en:

Controles Preventivos; para tratar de evitar la produccin de errores o


hechos fraudulentos, como por ejemplo el software de seguridad que evita
el acceso a personal no autorizado.

Controles Detectivos; tratan de descubrir a posteiori errores o fraudes que


no haya sido posible evitarlos con controles preventivos.

Controles Correctivos; tratan de asegurar que se subsanen todos los


errores identificados mediante los controles detectivos.

CONTROL INTERNO INFORMTICO (FUNCIN)


El Control Interno Informtico es una funcin del departamento de Informtica de
una organizacin, cuyo objetivo es el de controlar que todas las actividades
relacionadas a los sistemas de informacin automatizados se realicen cumpliendo
las normas, estndares, procedimientos y disposiciones legales establecidas
interna y externamente.
Entre sus funciones especficas estn:

Difundir y controlar el cumplimiento de las normas, estndares y


procedimientos al personal de programadores, tcnicos y operadores.

Disear la estructura del Sistema de Control Interno de la Direccin de


Informtica en los siguientes aspectos:
Desarrollo y mantenimiento del software de aplicacin.

Explotacin de servidores principales

Software de Base

Redes de Computacin

Seguridad Informtica

Licencias de software

Relaciones contractuales con terceros

Cultura de riesgo informtico en la organizacin

CONTROL INTERNO INFORMTICO (SISTEMA)


Un Sistema de Control Interno Informtico debe asegurar la integridad,
disponibilidad y eficacia de los sistemas informticos a travs de mecanismos o
actividades de control.
Estos controles cuando se diseen, desarrollen e implanten, deben ser sencillos,
completos, confiables, revisables y econmicos.
Para implantar estos controles debe conocerse previamente la configuracin de
todo el sistema a fin de identificar los elementos, productos y herramientas que
existen y determinar de esta forma donde se pueden implantar, as como para
identificar los posibles riesgos.
Para conocer la configuracin del sistema se deber documentar:

Entorno de Red: esquema, configuracin del hardware y software de


comunicaciones y esquema de seguridad de la red.
Configuracin de los computadores principales desde el punto de vista
fsico, sistema operativo, biblioteca de programas y conjunto de datos.
Configuracin de aplicaciones: proceso de transacciones, sistema de
gestin de base de datos y entorno de procesos distribuidos
Productos y herramientas: software de programacin diseo y
documentacin, software de gestin de biblioteca.
Seguridad del computador principal: sistema de registro y acceso de
usuarios, identificar y verificar usuarios, integridad del sistema

Una vez que se posee esta documentacin se tendr que definir:

Polticas, normas y tcnicas para el diseo e implantacin de los


sistemas de informacin y sus respectivos controles.
Polticas, normas y tcnicas para la administracin del centro de
cmputo y redes de computadores y sus respectivos controles.
Polticas y normas que aseguren la integridad, confidencialidad y
disponibilidad de los datos y sus respectivos controles.
Polticas y normas que rijan los procedimientos de cambios, pruebas
actualizacin de programas y sus respectivos controles.
Polticas y normas de instalacin, actualizacin y uso de licencias del
software de base, de red y de usuario y sus respectivos controles.
Polticas y normas que permitan implantar en la organizacin una
cultura de riesgo informtico, la misma que comprender los siguientes
entornos:
Direccin General, a travs de polticas generales sobre los sistemas de
informacin respecto al tipo de negocio de la misma.

Direccin de informtica, a travs de la creacin y difusin de


procedimientos, estndares, metodologas y normas aplicables a todas
las reas de informtica as como de usuarios.
Control Interno Informtico, definir los controles peridicos a realizar en
cada una de las funciones informticas, de acuerdo al nivel de riesgo de
cada una de ellas y sern de carcter preventivo, detectivo y correctivo.
Auditora Informtica Interna; revisar peridicamente la estructura de
control interno tanto en su diseo como en su cumplimiento por parte de
cada una de las reas definidas en l y de acuerdo al nivel de riesgo.

Que Relacin hay entre Riesgo y Control informtico?

Riesgo
Procesamiento de errores
Riesgos de choque de elctrico
Riesgos mecnicos
Cambio de la prestacin del servicio
Recorte de la calidad
Planificacin demasiado optimista
Problemas con el personal contratado
Decisiones equivocadas
Fraude

Control Informtico
Planificacin
Resolucin de riesgos
Monitorizacin de riesgos
Cumplimiento de normas y estndares
de sistema operativo.
Redes de software no licenciado
Modelos de seguridad informtica
Matriz de riesgos
Administracin de sistemas de datos
Uso de recursos
Facturacin de servicio web

También podría gustarte