AUDITORIA DE SISTEMAS

MOMENTO INICIALRECONOCIMIENTO DEL CURSO

PRESENTADOR POR:

JOSE GABRIEL CHIMA MOSQUERACC: 1.027.998.887

GRUPO: 90168_65

TUTOR:FRANCISCO NICOLÁS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNADCEAD-TURBO

ESCUELA DE CIENCIAS BÁSICAS DE TECNOLOGÍA E INGENIERÍA(FECHA) 18-8-2015

DESARROLLO

¿Vulnerabilidad?

En un sistema informático lo que queremos proteger son sus activos, es decir, los recursos que forman parte del sistema y que podemos agrupar en:

Hardware: elementos físicos del sistema informático, tales como procesadores, electrónica y cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVD).

Software: elementos lógicos o programas que se ejecutan sobre el hardware, tanto si es el propio sistema operativo como las aplicaciones.

Datos: comprenden la información lógica que procesa el software haciendo uso del hardware. En general serán informaciones estructuradas en bases de datos o paquetes de información que viajan por la red.

Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser la tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen en ese medio, etc.

De ellos los más críticos son los datos, el hardware y el software. Es decir, los datos que están almacenados en el hardware y que son procesados por las aplicaciones software.

Datos. Información. Conocimiento. Acción. Resultado. Valor.

Incluso de todos ellos, el activo más crítico son los datos. El resto se puede reponer con facilidad y los datos. Sabemos que dependen de que la empresa tenga una buena política de copias de seguridad y sea capaz de reponerlos en el estado mas próximo al momento en que se produjo la pérdida. Esto puede suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer dichos datos con lo que conllevaría de pérdida de tiempo y dinero. También una vulnerabilidad informática es una debilidad de un sistema informático, permitiendo o dejando espacios o entradas hacia el sistema por parte de personas ajenas al sistema, mismos que pueden ocasionar daños severos al sistema así como violar la privacidad, integridad etc. Del sistemas o de sus datos y aplicación. Estas

vulnerabilidades en ocasiones son ocasionadas por fallos del mismo diseño del sistema o incluso de configuración del mismo.

3 TIPOS DE VULNERABILIDADES EXISTENTES.

Error de diseño: Este tipo de vulnerabilidades se generan a partir de un error de diseño por parte de los programadores que realizan el sistema, esto es debido al entorno de trabajo o bien por su metodología de programación empleada.

configuración: Este tipo de vulnerabilidad ya no es causado por el diseño del sistema sino este es generado por el usuario del sistema debido a la mala configuración realizada dentro del sistema, dejando vulnerable el sistema.

Inyección de comandos en el sistema operativo: Este tipo de vulnerabilidades, es generada por parte de un usuario con capacidades especiales y que tienen los conocimientos necesarios para controlar la entrada del sistema mediante comandos para poder ejecutar instrucciones que pueden comprometer la integridad del sistema este acción se realiza mediante una herramienta especializada o a través de una terminal Linux o Windows.

¿Amenaza y Riesgo Informática?

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos informático. Viendo de control se pueda evaluar el desempeño del entorno la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, esta información sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos:

La evaluación de las amenazas ó causas de los riesgos. Los controles utilizados para minimizar las amenazas a riesgos. La asignación de responsables a los procesos informáticos La evaluación de los elementos del análisis de riesgos.

Se entiende como riesgo informático un estado de cualquier sistema que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para que un sistema se pueda definir como seguro debe tener estas cuatro características:

Integridad: La información sólo puede ser modificada por quien está autorizado.

Confidencialidad: La información sólo debe ser legible para los

Autorizados

Disponibilidad: Debe estar disponible cuando se necesita.

Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autoría. Dependiendo de las fuentes de amenaza, la dividirse en seguridad lógica y seguridad física.

RIESGOS RELACIONADOS CON LA INFORMATICA

En efecto, las principales áreas en que habitualmente ha incursionado la seguridad en los centros de cómputos han sido:

Seguridad física. Control de accesos. Protección de los datos. Seguridad en las redes.

Por tanto se ha estado descuidando otros aspectos intrínsecos de la protección informática y que no dejan de ser importantes para la misma organización, como por ejemplo

Organización y división de responsabilidades. Cuantificación de riesgos. Políticas hacia el personal. Medidas de higiene, salubridad y ergonomía. Selección y contratación de seguros. Aspectos legales y delitos. Estándares de ingeniería, programación y operación. Función de los auditores tanto internos como externos. Seguridad de los sistemas operativos y de red. Plan de contingencia.

A los fines de llevar una revisión completa y exhaustiva de este tema, se propone que los especialistas en seguridad informática apliquen un enfoque amplio e integral, que abarque todos los aspectos posibles involucrados en la temática a desarrollar, identificando aquellos concernientes a garantías y resguardos, y, después de haber efectuado un análisis exhaustivo de los mismos, presentarlos en detalle y agrupados convenientemente.

¿CONTROL INFORMÁTICO?

Definiciones

El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados.

El Informe COSO define el Control Interno como "Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán.

También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.

OBJETIVOS PRINCIPALES:

Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas

Colaborar y apoyar el trabajo de Auditoría Informática interna/externa

Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de los servicios informáticos.

Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades que se realizan.

Tipos

En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos:

Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.

Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.

Los controles según su finalidad se clasifican en:

Controles Preventivos; para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.

Controles Detectivos; tratan de descubrir a posteiori errores o fraudes que no haya sido posible evitarlos con controles preventivos.

Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.

CONTROL INTERNO INFORMÁTICO (FUNCIÓN)

El Control Interno Informático es una función del departamento de Informática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente.

Entre sus funciones específicas están:

Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de programadores, técnicos y operadores.

Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los siguientes aspectos:

Desarrollo y mantenimiento del software de aplicación.

Explotación de servidores principales

Software de Base

Redes de Computación

Seguridad Informática

Licencias de software

Relaciones contractuales con terceros Cultura de riesgo informático en la organización

CONTROL INTERNO INFORMÁTICO (SISTEMA)

Un Sistema de Control Interno Informático debe asegurar la integridad, disponibilidad y eficacia de los sistemas informáticos a través de mecanismos o actividades de control.

Estos controles cuando se diseñen, desarrollen e implanten, deben ser sencillos, completos, confiables, revisables y económicos.

Para implantar estos controles debe conocerse previamente la configuración de todo el sistema a fin de identificar los elementos, productos y herramientas que existen y determinar de esta forma donde se pueden implantar, así como para identificar los posibles riesgos.

Para conocer la configuración del sistema se deberá documentar:

Entorno de Red: esquema, configuración del hardware y software de comunicaciones y esquema de seguridad de la red.

Configuración de los computadores principales desde el punto de vista físico, sistema operativo, biblioteca de programas y conjunto de datos.

Configuración de aplicaciones: proceso de transacciones, sistema de gestión de base de datos y entorno de procesos distribuidos

Productos y herramientas: software de programación diseño y documentación, software de gestión de biblioteca.

Seguridad del computador principal: sistema de registro y acceso de usuarios, identificar y verificar usuarios, integridad del sistema

Una vez que se posee esta documentación se tendrá que definir:

Políticas, normas y técnicas para el diseño e implantación de los sistemas de información y sus respectivos controles.

Políticas, normas y técnicas para la administración del centro de cómputo y redes de computadores y sus respectivos controles.

Políticas y normas que aseguren la integridad, confidencialidad y disponibilidad de los datos y sus respectivos controles.

Políticas y normas que rijan los procedimientos de cambios, pruebas actualización de programas y sus respectivos controles.

Políticas y normas de instalación, actualización y uso de licencias del software de base, de red y de usuario y sus respectivos controles.

Políticas y normas que permitan implantar en la organización una cultura de riesgo informático, la misma que comprenderá los siguientes entornos:

Dirección General, a través de políticas generales sobre los sistemas de información respecto al tipo de negocio de la misma.

Dirección de informática, a través de la creación y difusión de procedimientos, estándares, metodologías y normas aplicables a todas las áreas de informática así como de usuarios.

Control Interno Informático, definirá los controles periódicos a realizar en cada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de ellas y serán de carácter preventivo, detectivo y correctivo.

Auditoría Informática Interna; revisará periódicamente la estructura de control interno tanto en su diseño como en su cumplimiento por parte de cada una de las áreas definidas en él y de acuerdo al nivel de riesgo.

¿Que Relación hay entre Riesgo y Control informático?

Riesgo Control InformáticoProcesamiento de errores PlanificaciónRiesgos de choque de eléctrico Resolución de riesgosRiesgos mecánicos Monitorización de riesgosCambio de la prestación del servicio Cumplimiento de normas y estándares

de sistema operativo.Recorte de la calidad Redes de software no licenciadoPlanificación demasiado optimista Modelos de seguridad informáticaProblemas con el personal contratado Matriz de riesgosDecisiones equivocadas Administración de sistemas de datosFraude Uso de recursos

Facturación de servicio web