UNIVERSIDAD NACIONAL DE SAN MARTIN

TEMA : AUDITORA INFORMTICA

Somos tu llave para triunfar !

Somos tu llave para triunfar !

AUDITORA DE SISTEMAS

DOCENTE:
ING. CARLOS ENRIQUE LPEZ RODRGUEZ

Somos tu llave para triunfar !

Primera clase
Elegir delegad@

Somos tu llave para triunfar !

Sobre el Examen

Somos tu llave para triunfar !

Auditoria Informtica
Introduccion

Somos tu llave para triunfar !

A.J. Tomas
La auditoria informatica, es una parte integrante de la auditoria, se estudia por separado para tratar problemas especificos y para aprovechar los recursos de personal. La auditoria informatica debe realizarse dentro del marco de la auditoria general. El cometido de la AI se puede dividir en: Un estudio del sistema y un analisis de los controles organizativos y operativos del Dpto. Informatica. Una investigacion y analisis de los sistemas de aplicacion que se estan desarrollando o que se estan implementando. La realizacion de auditorias de datos reales y de resultados de los sistemas que se estan utilizando. La realizacion de auditorias de eficiencia y eficacia.

Miguel Angel Ramos Miembro de la O.A.I

La define como la revision de la propia informatica y de su entorno:
Analisis de riesgos. Planes de contingencia. Desarrollo de aplicaciones. Asesoramiento en paquetes de seguridad. Revision de controles y cumplimiento de los mismos, asi como de las normas legales aplicables. Evaluacion de la gestion de los recursos informaticos.

Somos tu llave para triunfar !

Somos tu llave para triunfar !

J.J. Acha
Un conjunto de procedimientos y tecnicas para evaluar y controlar total o parcialmente un Sistema Informatico, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informatica y general existente en la empresa y para conseguir la eficacia en el marco de la organizacion correspondiente.

Somos tu llave para triunfar !

Auditoria Informtica
El concepto de auditoria es un examen crtico que se realiza con el

fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc.
La Informtica hoy, est dentro de la gestin integral de la empresa, y por eso, las normas y estndares propiamente informticos deben estar, sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el management o gestin de la empresa. En este sentido y debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informtica.

Somos tu llave para triunfar !

Qu es la Auditora Informtica?...
La Auditora Informtica es aquella que tiene como objetivos evaluar los controles de la funcin informtica, analizar la eficiencia de los sistemas, verificar el cumplimiento de las polticas y procedimientos de la empresa en este mbito y revisar que los recursos materiales y humanos de esta rea se utilicen eficientemente. El auditor informtico debe velar por la correcta utilizacin de los recursos que la empresa dispone para lograr un eficiente y eficaz Sistema de Informacin.

Somos tu llave para triunfar !

Qu es la Auditoria Informtica?...
De forma sencilla y grfica podemos decir que la Auditoria Informtica es el proceso de recoleccin y evaluacin de evidencia para determinar s un sistema automatizado tiene:
Daos Destruccin Uso no autorizado Robo

Salvaguarda activos

Mantiene la Integridad de los datos

Oportuna Precisa Confiable Completa

Contribucin de la funcin Informtica Utiliza los recursos adecuadamente en el procesamiento de la informacin

Alcanza Metas Organizacionales Consume recursos eficientemente

Somos tu llave para triunfar !

Qu es la Auditoria Informtica?...
Finalmente, debemos reafirmar que la Auditoria Informtica, tambin conocida en nuestro medio como Auditoria de Sistemas, surge debido a que la informacin se convierte en uno de los activos ms importante de las empresas, lo cual se puede confirmar si consideramos el hecho de que si se queman las instalaciones fsicas de cualquier organizacin, sin que sufran daos los ordenadores, servidores o equipo de cmputo, la entidad podra retomar su operacin normal en un menor tiempo, que si ocurre lo contrario.

A raz de esto, la informacin adquiere gran importancia en la empresa moderna debido a su poder estratgico y a que se invierten grandes sumas de dinero y tiempo en la creacin de sistemas de informacin con el fin de obtener una mayor productividad.

Somos tu llave para triunfar !

:: Problemas en el Uso de las

Tecnologas de la Informacin ?

Somos tu llave para triunfar !

:: Qu se debe asegurar ?
Siendo que la informacin debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para stas, al igual que el resto de los activos, debe estar debidamente protegida.

Somos tu llave para triunfar !

:: Contra qu se debe proteger la Informacin ?

La Seguridad de la Informacin, protege a sta de una amplia gama de amenazas, tanto de orden fortuito como destruccin, incendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.

Somos tu llave para triunfar !

:: Qu se debe garantizar ?
Confidencialidad: Se garantiza que la informacin es accesible slo a aquellas personas autorizadas a tener acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento.

Disponibilidad: Se garantiza que los usuarios autorizados tienen acceso a la informacin y a los recursos relacionados con la misma toda vez que se requiera.

Somos tu llave para triunfar !

:: Por qu aumentan las amenazas ?

Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Informacin, por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su seguridad.

Somos tu llave para triunfar !

:: Por qu aumentan las amenazas ?

Crecimiento exponencial de las Redes y Usuarios Interconectados Profusin de las BD On-Line Algunas Causas Inmadurez de las Nuevas Tecnologas

Alta disponibilidad de Herramientas Automatizadas de Ataques

Nuevas Tcnicas de Ataque Distribuido Tcnicas de Ingeniera Social

Somos tu llave para triunfar !

:: Cules son las amenazas ?
Accidentes: Averas, Catstrofes, Interrupciones, ... Errores: de Uso, Diseo, Control, .... Intencionales Presenciales: Atentado con acceso fsico no autorizado Intencionales Remotas: Requieren acceso al canal de comunicacin

:: Amenazas Intencionales Remotas

Interceptacin pasiva de la informacin (amenaza a la CONFIDENCIALIDAD). Corrupcin o destruccin de la informacin (amenaza a la INTEGRIDAD).

Suplantacin de origen (amenaza a la AUTENTICACIN).

Somos tu llave para triunfar !

:: Cmo resolver el desafo de la Seguridad Informtica ?

Las tres primeras tecnologas de proteccin ms utilizadas son el control de acceso/passwords, software anti-virus y firewalls
Los ataques ms comunes durante el ltimo ao fueron los virus informticos (27%) y el spammimg de correo electrnico (17%) seguido de cerca (con un 10%) por los ataques de denegacin de servicio y el robo de notebook.

El problema de la Seguridad Informtica est en su Gerenciamiento y no en las tecnologas disponibles

Somos tu llave para triunfar !

Si te conoces a ti mismo y conoces a tu enemigo, entonces no debers temer el resultado de mil batallas
Sun-Tzu, El Arte de la Guerra

Somos tu llave para triunfar !

LA SEGURIDAD INFORMATICA ES UN CAMINO, NO UN DESTINO

:: Ejemplo de problemas de Gerenciamiento ... I

SOBIG.F Segn Trend Micro, en los ltimos 7 das se infectaron 124.410 equipos en el mundo. Se dan todo tipo de cifras pero, evidentemente, estas son solo estimaciones pues, como siempre, nadie puede saber exactamente cuantas mquinas se han infectado y cuantos usuarios se han perjudicado por las tcnicas de spam que utiliza el virus.
El virus, desde el punto de vista tcnico no contiene grandes novedades Incorpora archivos adjuntos de formato .PIF y .SCR, que son los que producen la infeccin al abrirse

Somos tu llave para triunfar !

:: Ejemplo de problemas de Gerenciamiento ...II
SOBIG.F Todo esto provoca varias reflexiones:

1.

Hoy en da, segn diversas encuestas publicadas, la gran mayora de las organizaciones cuentan con herramientas antivirus y existe la facilidad de actualizarlas va Internet
Dadas las proporciones del caso, todos los medios han difundido cantidades de mensajes y de alertas. Todos los Directores de TIs, Administradores de Red y dems responsables de sistemas informticos han tenido informacin profusa, donde se indicaba que lo ms peligroso era abrir los archivos adjuntos .PIF y .SCR .

2.

Somos tu llave para triunfar !

:: Ejemplo de problemas de Gerenciamiento ...III

SOBIG.F O sea, existan 3 medios importantes para evitar las infecciones masivas que se han producido:

a)Bloquear la entrada de estos archivos a las Redes.

b)Actualizar rpidamente sus antivirus. c)Emitir inmediatamente las directivas necesarias para que ningn usuario bajo su control activara los mismos. (o ya lo deberan saber ?) Evidentemente esto no se ha hecho masivamente permitiendo, as, la rpida propagacin del virus y la pregunta que surge es Por qu? Por falta de informacin? Por falta de medios?...

Somos tu llave para triunfar !

:: Hasta ac ....

Proteccin de la Informacin
Internas

Amenazas
Externas

Confidencialidad Integridad Disponibilidad

Gerenciar Seguridad Informtica

Somos tu llave para triunfar !

:: Pero tenemos mas ... PRESUPUESTO

Presupuestos especificados y disminuidos Mantenimiento o aumento de los objetivos a cumplir La reduccin de inversin en TI en la Organizacin genera riesgos de Seguridad Informtica La reduccin de inversin en TI de clientes, proveedores y aliados, genera riesgos de Seguridad Informtica

Somos tu llave para triunfar !

:: Informtica y Comunicaciones = Sistema de Seguridad

Redes nicas

Concentracin de Servicios Telefnicos y Datos

Problemas de Confidencialidad y Disponibilidad

Somos tu llave para triunfar !

:: El xito de un Sistema de Seguridad Informtica ...

Reingeniera
Gerenciamiento Diseo y Controles Equilibrio Seguridad y Operatividad Ecuacin de Riesgo Organizacional Ecuacin Econmica de Inversin en TI

Somos tu llave para triunfar !

:: Requerimiento bsico:

Apoyo de la Alta Gerencia

RRHH con conocimientos y experiencia RRHH capacitados para el da a da Recursos Econmicos Tiempo

Somos tu llave para triunfar !

:: Estructura de Seguridad Anlisis de Riesgos
Anlisis de Riesgos
Se considera Riesgo Informtico, a todo factor que pueda generar una disminucin en: Confidencialidad Disponibilidad - Integridad

Determina la probabilidad de ocurrencia

Determina el impacto potencial

Somos tu llave para triunfar !

:: Anlisis de Riesgos Modelo de Gestin

Activos

Amenazas

Impactos Reduce

Vulnerabilidades Reduce

Riesgos Funcin Correctiva Funcin Preventiva

Somos tu llave para triunfar !

:: Estructura de Seguridad Poltica de Seguridad
Poltica de Seguridad
Conjunto de Normas y Procedimientos documentados y comunicados, que tienen por objetivo minimizar los riesgos informticos mas probables

Uso de herramientas Involucra

Cumplimiento de Tareas por parte de personas

Somos tu llave para triunfar !

:: Estructura de Seguridad Plan de Contingencias
Conjunto de Normas y Procedimientos documentados y comunicados, cuyo objetivo es recuperar operatividad mnima en un lapso adecuado a la misin del sistema afectado, ante emergencias generadas por los riesgos informticos

Involucra

Uso de herramientas Cumplimiento de Tareas por parte de personas

Somos tu llave para triunfar !

:: Herramientas
Copias de Resguardo Control de Acceso

Encriptacin
Antivirus Barreras de Proteccin Sistemas de Deteccin de Intrusiones

Somos tu llave para triunfar !

:: Uso de Estndares

NORMA ISO/IRAM 17799

Somos tu llave para triunfar !

:: Norma ISO/IRAM 17.799

Estndares Internacionales
Norma basada en la BS 7799 Homologada por el IRAM

Somos tu llave para triunfar !

Preguntas ?

Lectura:
Control Interno y Auditoria Informtica Mario Piatinni,Emilio Peso Auditoria Informtica un enfoque practico. Pag. 25-43