UNIVERSIDAD NACIONAL DE SAN MARTIN

FACULTAD DE INGENIERÍA DE SISTEMAS E

INFORMÁTICA

TEMA :
 INTRODUCCION A LA AUDITORÍA Y SEGURIDAD INFORMÁTICA
 OBJETIVOS DE LA AUDITORIA INFORMÁTICA
 CLASES DE AUDITORÍA
 ALCANCE DE UNA AUDITORIA INFORMÁTICA

DOCENTE: ING. DR. CARLOS ENRIQUE LÓPEZ RODRÍGUEZ

mail: celopez@[Link]
1
 Primera clase

 Elegir delegad@

2
 Sobre la metodología del
Sobre eldesarrollo
Examen del curso…

3
 INTRODUCCIÓN
La Auditoría de Sistemas de Información, es el
mecanismo de control efectuado por un grupo
independiente del sistema a auditar, con la
finalidad de

valorar y
evaluar LA CONFIANZA

que se puede depositar en

los sistemas de información

Auditar es efectuar el control y la revisión de

una situación pasada. Es observar lo que pasó
en una entidad y contrastarlo con normas
internas y/o externas. 4
 AUDITORIA DE SISTEMAS

Es un examen crítico que se realiza con el fin de

evaluar la eficacia y eficiencia de una sección, un
organismo, una entidad, etc.

5
Miguel Angel Ramos
Miembro de la O.A.I
 La define como la revision de la propia
informatica y de su entorno:
 Analisisde riesgos.
 Planes de contingencia.
 Desarrollo de aplicaciones.
 Asesoramiento en paquetes de seguridad.
 Revisionde controles y cumplimiento de los
mismos, asi como de las normas legales aplicables.
 Evaluacion de la gestion de los recursos
informaticos.
6
La AUDITORIA de SI es el
PROCESO
de RECOGER, AGRUPAR y EVALUAR
EVIDENCIAS
para
DETERMINAR
si un SISTEMA INFORMATIZADO
SALVAGUARDA los ACTIVOS,
mantiene la INTEGRIDAD de los DATOS,
lleva a cabo
los FINES de la ORGANIZACIÓN
y UTILIZA EFICIENTEMENTE los RECURSOS
7
Los activos de sistemas de información

 Un activo de sistemas de información es todo aquello

que una entidad considera valioso

 Según el estándar ISO 27001:2013, los activos son los

recursos del Sistema de Seguridad de la Información,
necesarios para que la empresa funcione y consiga los
objetivos que se ha propuesto la alta dirección.

8
Los activos de sistemas de información
Tipos de activos

 El entorno del Sistema de Seguridad de la Información basado en ISO 27001, que

comprende a los activos y que se precisan para garantizar los siguientes niveles.
 El sistema de información en sí.
 La misma información generada por la aplicación del Sistema de Seguridad de la
Información.
 Las funcionalidades de la organización, en las que se justifican las exigencias de
los Sistemas de Información anteriores y les generan la finalidad deseada.
 Otros activos, ya que el tratamiento realizado a los activos es un método de
evaluación de riesgos que tienen que permitir la inclusión de cualquier otro
activo, sea cual sea su naturaleza.

9
Objetivos de un sistema de
información

 Salvaguardar la propiedad
 Mantener la integridad
 Asegurar la confidencialidad
 Garantizar la disponibilidad
 Atender los objetivos de la organización

10
 Importancia de la Auditoría de
Sistemas
En la actualidad, todas las empresas necesitan información:

• segura y precisa
Tomar decisiones certeras

• Cuando éstas
sean requeridas

Es más económico para el negocio realizar una auditoria preventiva

que realizar una auditoria correctiva, ya que la auditoria correctiva
aparte de tener pérdidas económicas, hay pérdida de credibilidad 11
en los clientes internos y externos
 Objetivos de la auditoria
informática
Los objetivos de la auditoria Informática son:

 El control de la función informática.

 El análisis de la eficiencia de los Sistemas Informáticos.
 La verificación del cumplimiento de la Normativa en este ámbito.
 La revisión de la eficaz gestión de los recursos informáticos.

12
¿Para qué sirve la auditoría informática?

La auditoria informática sirve para mejorar ciertas

características en la empresa como:

 Desempeño
 Fiabilidad
 Eficacia
 Rentabilidad
 Seguridad
 Privacidad

13
 Tipos y clases de auditorías
Tipos y clases de auditorías
informáticas

Destacan
Auditoría Auditoria de
la seguridad
de la
Auditoria legal en
gestión producción
del Reglamento Auditoria
de Protección de Auditoria Auditoria de las
Datos de los Auditoria Auditoria de la comunicaci
datos de las Auditoria de la seguridad ones
bases de de la seguridad lógica
datos seguridad física

Evalúa
La
contratació
n de
bienes y Cumplimient
Referido a la
servicios, o legal de las
ubicación de la
documenta medidas de organización, Se refiere a
ción de los seguridad Clasificación Controles Referidos a evitando ubicaciones la auditoria Frente
exigidas por de los datos, de acceso, datos e de riesgo, y en Comprende de los errores,
programas
información algunos casos no los métodos procesos de accidentes
, etc. el estudio de de
revelando la de autenticació fraudes.
Reglamento las actualizaci verificando situación física de autenticació n en los
de desarrollo aplicaciones ón, de disponibilidad, esta. También está n de los sistemas de
de la Ley y análisis de integridad integridad, referida a las sistemas de comunicació
Orgánica de los y calidad confidencialida protecciones información. n.
d, externas (arcos de
Protección flujogramas. de los 14
seguridad, CCTV,
de Datos. datos. autenticación y vigilantes, etc) y
no repudio. protecciones del
entorno.
 :: Qué se debe asegurar ?

Siendo que la información debe considerarse como un recurso con el

que cuentan las Organizaciones y por lo tanto tiene valor para éstas,
al igual que el resto de los activos, debe estar debidamente protegida.

15
:: Contra qué se debe proteger la Información ?

La Seguridad de la Información, protege a ésta de una

amplia gama de amenazas, tanto de orden fortuito como
destrucción, incendio o inundaciones, como de orden
deliberado, tal como fraude, espionaje, sabotaje, vandalismo,
etc.

16
 :: Qué se debe garantizar ?

Confidencialidad: Se garantiza que la información es accesible

sólo a aquellas personas autorizadas a tener acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la
información y los métodos de procesamiento.
Disponibilidad: Se garantiza que los usuarios autorizados tienen
acceso a la información y a los recursos relacionados con la
misma toda vez que se requiera.

17
 :: Por qué aumentan las amenazas ?

Las Organizaciones son cada vez mas dependientes de sus

Sistemas y Servicios de Información, por lo tanto podemos
afirmar que son cada vez mas vulnerables a las amenazas
concernientes a su seguridad.

18
:: Por qué aumentan las amenazas ?

Crecimiento exponencial de las Redes y

Usuarios Interconectados
Profusión de las BD On-Line

Algunas Inmadurez de las Nuevas Tecnologías

Causas Alta disponibilidad de Herramientas
Automatizadas de Ataques
Nuevas Técnicas de Ataque Distribuido
Técnicas de Ingeniería Social

19
:: Cuáles son las amenazas ?
Accidentes: Averías, Catástrofes, Interrupciones, ...
Errores: de Uso, Diseño, Control, ....
Intencionales Presenciales: Atentado con acceso físico no autorizado
Intencionales Remotas: Requieren acceso al canal de comunicación

:: Amenazas Intencionales Remotas

•Interceptación pasiva de la información (amenaza a la CONFIDENCIALIDAD).

•Corrupción o destrucción de la información (amenaza a la INTEGRIDAD).
•Suplantación de origen (amenaza a la AUTENTICACIÓN).

20
 :: Estructura de Seguridad – Análisis de Riesgos

Análisis de Riesgos
Se considera Riesgo Informático, a todo factor que pueda generar una
disminución en:
Confidencialidad – Disponibilidad - Integridad
•Determina la probabilidad de ocurrencia
•Determina el impacto potencial

21
La responsabilidad en último extremo, en
una empresa sobre la optimización de la
calidad de los SI, y la rentabilidad de los
recursos informáticos la tiene:

1. La Dirección de la empresa
2. El auditor de SI interno
3. El responsable de las Tecnologías de la
Información
4. El vendedor del software y el hardware
22
Un Auditor de Sistemas de Información
debe, entre sus responsabilidades,
realizar:

1. La redacción de los procedimientos de

control en el área de seguridad lógica
2. La aprobación de nuevos sistemas de
gestión
3. Evaluar los riesgos de los sistemas de
información
4. Las pruebas del plan de continuidad del
negocio 23
PARA QUE LA AUDITORÍA DE SISTEMAS TENGA ÉXITO
SE REQUIERE:
•Compromiso de todos los funcionarios relacionados
•Continuidad en el proceso de evaluación y control

•Especialización de quienes llevan a cabo la función de

auditoría
•Conocimiento de la entidad a través de la etapa de planeación
•Enfoque preventivo, no correctivo
•Facilitar soluciones, no recomendando exceso de controles
•Estudio del medio tecnológico y organizacional

24
PARA QUE LA AUDITORÍA DE SISTEMAS TENGA ÉXITO
SE REQUIERE:

•Lograr que el personal advierta que las medidas preventivas

son parte del trabajo diario y que incumben a todos por igual

•Evaluar para resolver y proteger, sin entorpecer ni burocratizar

•Trabajar con base en requerimientos y riesgos propios, y no

según los criterios del mercado

25
Alcance de una auditoria informática

El alcance de la auditoría expresa los

límites de la misma. Debe existir un
acuerdo muy preciso entre auditores y
clientes sobre las funciones, las materias
y las organizaciones a auditar.

Tanto los alcances como las excepciones

deben figurar al comienzo del Informe
Final.

Las personas que realizan la auditoría han de conocer con la mayor

exactitud posible los objetivos a los que su tarea debe llegar. Deben
comprender los deseos y pretensiones del cliente, de forma que las metas
fijadas puedan ser cumplidas.
26
27
Preguntas … ?

28