Auditoria y seguridad_informatica
-
Upload
alejandra-acurio -
Category
Education
-
view
433 -
download
0
Transcript of Auditoria y seguridad_informatica
![Page 1: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/1.jpg)
AUDITORIAy SEGURIDAD INFORMÁTICA
Informática Básica AplicadaUNLaR Ciclo 2008Prof. Marcelo Martínez
![Page 2: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/2.jpg)
Porqué?• La vulnerabilidad acarreada
por los computadores• Impacto de los
computadores sobre las tareas de auditoría
• La adecuación de las normas de auditoría a un entorno electrónico
![Page 3: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/3.jpg)
Auditar
• Ejercer control sobre una determinada acción
• Donde auditamos a menudo?– A nivel personal– A nivel laboral– A nivel académico
![Page 4: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/4.jpg)
Control
• Actividad/es o acción/es realizadas por uno o varios elementos de un sistema, que tienen como finalidad la prevención, detección y corrección de errores que afecten la homeostasis del sistema
I/E Proceso C O/S
![Page 5: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/5.jpg)
Etimología – AUDITORIUS• Latín: Auditor, que tiene la
virtud de oir
![Page 6: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/6.jpg)
Diccionario – AUDITOR
• Revisor de cuentas colegiado
![Page 7: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/7.jpg)
Auditoria• Es el examen de la información por
TERCERAS partes, distintas de quienes la generan y quienes la utilizan
• Se produce con la intención de establecer su suficiencia y adecuación a las normas.- Es necesario poder medirlas, necesitamos un patrón
• Produce informes como resultado del examen critico
• Su objetivo es: evaluar la eficiencia y eficacia, determinar cursos de acción alternativos y el logro de los objetivos propuestos
• MEJORA CONTINUA!!!!
![Page 8: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/8.jpg)
Auditoria según IMC
• Agrega a la definición anterior.– La auditoria requiere el
ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos
IMC= Instituto Mexicano de Contabilidad
![Page 9: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/9.jpg)
Pregunta?
• Alberto es contador• Alberto es responsable
– Ambos son juicios?
![Page 10: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/10.jpg)
NO• La primera es una afirmación,
observación de lo que es verdadero para nosotros. Nos permiten describir al manera en que vemos las cosas
• La segunda es un JUICIO, un tipo especial de DECLARACION. Es una apreciación, opinión o interpretación NUESTRA de lo que observamos.
![Page 11: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/11.jpg)
Caso de estudio ….Virginia, tiene 30 años, estudió en
Córdoba y es muy agradable como ser humano.
Actualmente esta casada, tiene 3 hijos y su capacidad profesional asombra a todos sus colegas.
Vive en La Rioja y su casa es muy linda.
Hoy nos acompaña en esta clase y esta muy alegre de compartir con todos nosotros la clase.
![Page 12: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/12.jpg)
Que es un JUICIO?• Una declaración• No son verdaderos o falsos. Dejan siempre
abierta la posibilidad a discrepar• Son validos o inválidos. Su validez depende
de la AUTORIDAD que la comunidad confiera a otros para emitirlos
• El grado de efectividad de los juicios esta directamente relacionado con la autoridad formal o informal que hemos conferido a la persona que los hace.
• Temas relacionados:– Ontología del lenguaje– Postulados básicos de la OL
![Page 13: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/13.jpg)
Fundamentación de los JUICIOS• Cada vez que emitimos un
juicio asumimos el compromiso social de fundarlo, es decir, mostrar las observaciones pasadas en las que se asienta nuestro juicio y la inquietud o interés por el futuro que lo motiva
![Page 14: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/14.jpg)
Auditoria Informática
• Revisión, análisis y evaluación independiente y objetiva de un entorno informático– Hardware– Software
• Base• Aplicación
– Comunicaciones– Procedimientos-Gestión de
recursos informáticos
![Page 15: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/15.jpg)
Tener en cuenta…
• Los objetivos fijados• Los planes, programas y
presupuestos• Controles, leyes aplicables,
entre otros….
![Page 16: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/16.jpg)
Tipos de Auditoría
• Evaluación del sistema de control interno
• De cumplimiento de políticas, estándares y procedimientos
• De seguridad: física y lógica• De operaciones/gestión• Interna/Externa
![Page 17: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/17.jpg)
Fuentes
• Todo tipo de fuente referido a:– Hardware– Software– Instalaciones– Procedimientos
![Page 18: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/18.jpg)
Check List• Revisión del Hardware
– -– -
• Revisión del Software– -– -
• Instalaciones– -– -
• Procedimientos– -– -
![Page 19: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/19.jpg)
Principios fundamentales de la auditoria en una computadora• AUTOMATISMO del
computador– Programa - Algoritmo– No al comportamiento
probabilístico• DETERMINISMO del
algoritmo– Ante un conjunto de datos de
entrada, siempre se obtengas una misma salida
![Page 20: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/20.jpg)
El Control• Interno
– Creación de relaciones adecuadas entre las diversas funciones del negocio y los resultados finales de operación.
• Interno Electrónico– Comportamiento de los circuitos
electrónicos. Ej. Transmisión de datos• Interno Informático
– Verifica el cumplimiento de los procedimientos, estándares y normas fijadas por la dirección de informática, como así también los requerimientos legales
![Page 21: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/21.jpg)
La seguridad de los sistemas de informaciónLa protección de los activos
informáticos
![Page 22: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/22.jpg)
Seguridad, algunos conceptos• Seguridad
– Protección contra perdidas– Es un sistema seguro,
impenetrable?• Grados de seguridad Vs costo
– Naturaleza de las amenazas – contingencias
• A que apuntan las medidas de seguridad?– Integridad, confidencialidad,
privacidad y continuidad
![Page 23: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/23.jpg)
Integridad
• Completa y correcta• Datos libres de errores
– Intencionales como no intencionales
• No contradictorios!!!
![Page 24: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/24.jpg)
Confidencialidad
• Proteger la información contra la divulgación indebida
![Page 25: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/25.jpg)
Privacidad
• Tiene que ver con la persona• Similar a intimidad• Información que un individuo no
desea tenga difusión generalizada• Que sucede cuando el derecho de
los individuos se contraponen con las necesidades de las organizaciones privadas o publicas?
![Page 26: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/26.jpg)
Continuidad
• Seguir Operando!!!!
![Page 27: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/27.jpg)
Sensitividad
• Atributo que determina que la información deberá ser protegida
![Page 28: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/28.jpg)
Identificación
• Declaración de ser una persona o programa– Numero ID– T Magnética– Registro de Voz– Etc
![Page 29: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/29.jpg)
Autenticar
• Es una prueba de identidad
• Debe ser secreto• Ejemplos....LAS
PASSWORDS
![Page 30: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/30.jpg)
Autorización
• Función del sistema de control
• Es el QUIEN DEBE HACER QUE...
• Debe ser especifica, no general
![Page 31: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/31.jpg)
Contingencia• Es una amenaza al conjunto de
los peligros a los que están expuestos los recursos informáticos de una organización
• Recursos:– Personas– Datos– Hardware– Software– Instalaciones– .....
![Page 32: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/32.jpg)
Categorías de Contingencias
Ambientales• Ambientales naturales
– Inundación, incendio, filtraciones, alta temperatura, terremoto, derrumbe explosión, corte de energía, disturbios, etc
• Ambientales operativas– Caída o falla del procesador,
periféricos, comunicaciones, software de base/aplicación, AC, Sistema eléctrico, etc
![Page 33: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/33.jpg)
Categorías de contingencias Humanas
• Humanas no intencionales– Errores y/o omisiones en el
ingreso de datos, errores en backup, falta de documentación actualizada, en daños accidentales...
• Humanas intencionales– Fraude, daño intencional,
terrorismo, virus, hurto, robo, etc.
![Page 34: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/34.jpg)
Cuales son los desastres mas comunes que pueden afectar los sistemas?• Virus• Fuego• Inundaciones• Cortes de electricidad• Interferencias eléctricas• Fallas mecánicas• Sabotaje• Empleados descontentos• Uso indebido de recursos
![Page 35: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/35.jpg)
Vulnerabilidad• Debilidad que presenta una organización
frente a las contingencias que tienen lugar en el entrono del procesamiento de datos.
• Falta de protección ante una contingencia• Se da ante la falta de:
– Software de protección– Responsables a cargo de la SI– Planes de seguridad, contingencias– Inadecuada/o:
• Selección y capacitación• Diseño de sistemas, programación, operación• Backups• Auditorias I/E
![Page 36: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/36.jpg)
Consecuencia• Daño o perdida potencial ante la
ocurrencia de una contingencia• Algunas consecuencias
inmediatas:– Imposibilidad de procesar– Perdida de archivos y registros– Lectura indebida
• Otras consecuencias mediatas:– Legales– Económicas/financieras– Incidencia en otros sistemas
![Page 37: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/37.jpg)
Tipos de Medidas de seguridad
• Preventivas– Limitan la posibilidad de que
se concreten las contingencias• Detectivas
– Limitan los efectos de las contingencias presentadas
• Correctivas– Orientadas a recuperar la
capacidad de operación normal
![Page 38: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/38.jpg)
Que tipo de controles pueden efectuarse para aumentar la seguridad?
• Acceso Físico• Acceso Lógico
![Page 39: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/39.jpg)
Métodos de control de accesos• Contraseñas
– Características, fuerzas y debilidades
• Otros medios de autenticación– Impresiones digitales– RPV– Medidas de geometría de mas
manos– Iris del ojo
![Page 40: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/40.jpg)
Que es una pista de auditoria?• Huella o registro generado
automáticamente• Orientado a un análisis
posterior• Permite reconstruir el
procesamiento• Es un CAMINO HACIA
ATRÁS...
![Page 41: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/41.jpg)
Backups y recuperación
• Hardware• Software• Algunas preguntas
frecuentes– De que dependen?– Como se manifiestan?– Donde se realizan?– Cada cuanto deben realizarse?
![Page 42: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/42.jpg)
Que es y como contribuye la criptografía a la SI?• Ininteligibilidad a usuarios
no autorizados• Métodos de encriptación
– Valiosos para la protección de datos y redes
– Usan algoritmos matemáticos en función de cadenas validas o passwords
![Page 43: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/43.jpg)
Delitos informáticos• Delito de computación
– Usa una computadora • Objeto del delito• Escena del delito• Instrumento del delito
• Delito en Internet– Acceso, uso, modificación y
destrucción no autorizados de Hard/Soft, datos y recursos de redes
– Distribución no autorizada de información
– Copia no autorizada de software– ....
![Page 44: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/44.jpg)
Perfil del delincuente informático• En base a estudios, su perfil es
– Joven• Mayoría de técnicos jóvenes• Ausencia de responsabilidad profesional
– Mejores y mas brillantes empleados– Ocupan puestos de confianza– No se encuentran solos. Cuentan con
ayuda– Aprovecha el abandono de las normas o
estándares– Síndrome de Robin Hood– Juega con el desafío. Reto intelectual
![Page 45: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/45.jpg)
Planes principales de un programa de administración de la seguridad de sistemas• Seguridad• Contingencias
ES MUY IMPORTANTE EL APOYO DELA DIRECCION SUPERIOR, SIN CUYORESPALDO EXPLICITO Y CONTINUOTALES PLANES NO PODRAN SERCUMPLIDOS CON EXITO
![Page 46: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/46.jpg)
Plan de seguridad - PS
• Conjunto de medidas preventivas, detectivas y correctivas destinadas a enfrentar los riesgos a los que están expuestos los activos informáticos de una organización
• Su objetivo esencial es proteger los activos informáticos en cuanto a integridad, confidencialidad, privacidad y continuidad
![Page 47: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/47.jpg)
Plan de contingencias - PC• Conjunto de procedimientos que luego
de producido un desastre, pueden ser rápidamente ejecutados para restaurar las operaciones normales con máxima rapidez y mínimo impacto
• Es un capitulo del plan de seguridad – Medidas correctivas
• Objetivos esenciales– Minimizar el impacto– Promover una rápida recuperación de
la operatividad
![Page 48: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/48.jpg)
Matriz de Análisis de Riesgos• Como es su estructura?• Qué información podemos
extraer de ella?
![Page 49: Auditoria y seguridad_informatica](https://reader033.fdocuments.mx/reader033/viewer/2022051705/58a921611a28ab6f508b5541/html5/thumbnails/49.jpg)
Gracias