Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria de Sistemas PDF
Auditoria de Sistemas PDF
Elaborado por:
Departamento de Control de
Calidad y Auditoría
Informática
Contenido
I. Introducción
II. Propósito
III. Alcance
V. Planeación de la Auditoría
VII. Seguridad
VIII. Personal
Subdirección de Sistemas
2
Auditoría en Sistemas Seguros
XXI. Preselección
XXII. Post-Selección
XXX. Pruebas
XXXI. Documentación
XXXVI. Bibliografía
XXXVII. Glosario
Subdirección de Sistemas
3
Auditoría en Sistemas Seguros
Introducción
Propósito
Alcance
Subdirección de Sistemas
4
Auditoría en Sistemas Seguros
Objetivos de Control
Planeación de la Auditoría
a) La cantidad de datos.
b) La seguridad.
c) El personal.
d) Aspectos de seguridad en la auditoría.
e) Aspectos generales de la revisión.
f) El tiempo destinado a la auditoría.
Subdirección de Sistemas
5
Auditoría en Sistemas Seguros
Cantidad de Datos
Seguridad
Subdirección de Sistemas
6
Auditoría en Sistemas Seguros
Debe ser posible que el blanco del proceso de auditoría sea un usuario
o un objeto. Es decir, el mecanismo de auditoría debe ser capaz de
vigilar cada vez que Juan tuvo acceso al sistema X, así como vigilar
cuando el archivo Z fue leído o ejecutado; y además cada vez que Juan
tuvo acceso al archivo Z.
Personal
Subdirección de Sistemas
7
Auditoría en Sistemas Seguros
Aspectos de Seguridad en la
Auditoría
Identificación/Verificación.
Subdirección de Sistemas
8
Auditoría en Sistemas Seguros
Criterios Establecidos
Subdirección de Sistemas
9
Auditoría en Sistemas Seguros
El Requisito de la Auditoría C2
Sección: 2.2.2.2
Apartado: Auditoría
Subdirección de Sistemas
10
Auditoría en Sistemas Seguros
El Requisito de la Auditoría B1
Sección: 3.1.2.2
Apartado: Auditoría
Subdirección de Sistemas
11
Auditoría en Sistemas Seguros
El Requisito de la Auditoría B2
Sección: 3.2.2.2
Apartado: Auditoría
Subdirección de Sistemas
12
Auditoría en Sistemas Seguros
El Requisito de la Auditoría B3
Sección: 3.3.2.2
Apartado: Auditoría
Subdirección de Sistemas
13
Auditoría en Sistemas Seguros
El Requisito de la Auditoría A1
Base de la Auditoría:
Subdirección de Sistemas
14
Auditoría en Sistemas Seguros
Selección de Pre/Post de
Sucesos Auditables
Las opciones que pueden ser seleccionadas al ejecutar los sucesos que
deben ser revisados incluyen una característica de preselección y una
característica de post-selección. Un sistema puede elegir ambas
opciones, una opción de la preselección, o ejecutar una opción de post-
selección.
Subdirección de Sistemas
15
Auditoría en Sistemas Seguros
Compresión de Datos
Subdirección de Sistemas
16
Auditoría en Sistemas Seguros
Almacenamiento Físico
Un factor a considerar en la selección del medio de almacenamiento a
ser utilizado para el registro de la auditoría sería el uso previsto del
sistema.
Subdirección de Sistemas
17
Auditoría en Sistemas Seguros
Subdirección de Sistemas
18
Auditoría en Sistemas Seguros
Esta situación del peor caso debe estimarse durante la fase del diseño
del sistema y (cuando es posible) el equipamiento físico debe
seleccionarse para este propósito.
Dispositivo de Sólo-Escritura
Para las clases más bajas de los criterios del Libro naranja (p.e., C2,
B1) el registro de auditoría puede ser la herramienta principal usada en
la detección de los compromisos de seguridad (huecos potenciales).
Implícito está que los recursos de la auditoría deben proporcionar la
máxima protección posible.
Subdirección de Sistemas
19
Auditoría en Sistemas Seguros
Datos de Auditoría en
Equipo Dedicado
Subdirección de Sistemas
20
Auditoría en Sistemas Seguros
Subdirección de Sistemas
21
Auditoría en Sistemas Seguros
Pruebas
Documentación
Subdirección de Sistemas
22
Auditoría en Sistemas Seguros
Subdirección de Sistemas
23
Auditoría en Sistemas Seguros
Otra alternativa puede ser emplear papeles separados del auditor. Tal
situación puede dar a una persona la autoridad para desactivar el
mecanismo de auditoría, mientras que otra persona puede tener la
autoridad para activar el mecanismo. En este caso que no existe un
individuo pueda desactivar el mecanismo de auditoría, de forma que
pueda comprometer el sistema, y después pueda activar el mecanismo
de auditoría.
Pérdida de Datos
Subdirección de Sistemas
24
Auditoría en Sistemas Seguros
Resumen de la Auditoría
Subdirección de Sistemas
25
Auditoría en Sistemas Seguros
Glosario
Subdirección de Sistemas
26
Auditoría en Sistemas Seguros
Subdirección de Sistemas
27
Auditoría en Sistemas Seguros
Subdirección de Sistemas
28
Auditoría en Sistemas Seguros
Subdirección de Sistemas
29
Auditoría en Sistemas Seguros
Bibliografia
URL: http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html
Computer Security Basics,
Deborah Russell and G.T. Gangemi Sr.
O’Reilly & Associates, Inc.
Subdirección de Sistemas
30