agenda...agenda 7. auditoría física 7.1 definición 7.2 objetivos de la auditoría física 7.3...

Agenda

1. Introducción a la auditoría informática1.1 Historia de la informática

2. Conceptos de auditoría informática 2.1 Marco teórico2.2 ¿Que es informática?2.3 ¿Para que sirve la informática?2.4 Definición de auditoría informática2.5 Objetivos de la auditoría informática2.6 Definición de estándar y calidad.

3. Tipos de auditoría3.1 Auditoría de la gestión3.2 Auditoría legal del reglamento de protección de datos3.3 Auditoría de desarrollo3.4 Auditoría de la base de datos3.5 Auditoría de la seguridad3.6 Auditoría de la seguridad física 3.7 Auditoría de la seguridad lógica 3.8 Auditoría de mantenimiento3.9 auditoría de las comunicaciones y redes

Agenda

4. Auditoría de desarrollo4.1 Definición4.2 Objetivos de la auditoría de desarrollo4.3 Importancia de la auditoría de desarrollo.4.4 Planteamiento y metodología

5. Auditoría de base de datos5.1 Definición5.2 Importancia de la auditoría en base de datos.5.3 Objetivos de la auditoría de bases de datos.5.4 Metodologías.5.5 Auditoría en el ciclo de vida de una base de datos.5.6 Herramientas de auditoría y control interno

6. Auditoría de mantenimiento6.1 Definición6.2 Objetivos6.3 Tipos de mantenimiento6.4 Aspectos claves del mantenimiento.6.5 Análisis de los medios técnicos.6.6 Informe final.

Agenda

7. Auditoría física 7.1 Definición7.2 Objetivos de la auditoría física 7.3 Medidas a preparar según el momento del fallo7.4 Áreas de interés para la auditoría7.5 Evaluación de riesgos y fuentes a utilizar7.6 Fases de la auditoría

8. Auditoría de sistemas8.1 Definición8.2 Objetivos de la auditoría de sistemas.8.3 Justificación para efectuar una auditoría de sistemas.8.4 Perfil del auditor de sistemas8.5 Controles.8.6 Fases de la auditoría

Agenda

9. Auditoría de las comunicaciones y redes9.1 Definición9.2 Objetivos de la auditoría9.3 Auditoría de la red física 9.4 Auditoría en las comunicaciones9.5 Evaluación de la red lógica9.6 Fases de la auditoría

10. Auditoría de seguridad10.1 Auditoría de la seguridad física 10.2 Auditoría de la seguridad lógica10.3 Estándares base para auditorías de seguridad informática.10.4 Fases de la auditoría de seguridad informática10.5 Controles.10.6 Fases de la auditoría

1. Introducción

Tema I

Tecnologías de la Información

Te parece familiar

Uso de Tecnologías

Introducción

Evolución

Dispositivos mecánicos paracontar se remonta a lascivilizaciones Griega yRomana

Pascalina 1623

Primera Computadora mecánica 1823

creada por Charles Babbage gobierno Británico la elaboración de las tablas matemáticas era un proceso tedioso y propenso a errores.

Creada para efectuar sumas repetidas y copias, un especie de impresora

Introducción

1880 Hollerith Agilizar el proceso de censo

Herman Hollerith

Introducción

1940-1960Primer Generación

Introducción

Multiplicación 6 segundos

División 12 segundos

1944 Mark I Primer ordenador electromecánico financiado por IBM

17 M

3

M

Howard H. Aiken

Introducción

1947 ENIAC

Primer computadora con almacenamiento de

memoria electrónica y digital la Mark n una semana la Eniac en una

hora

150 mts

7257 kg

Introducción

Todas basadas en la utilización de válvulas de vacío, que suponía un alto consumo de electricidad y propensas a descomponerse constantemente

Levantar censos Hacer cálculos matemáticos

Para hacer calculo Precisos y rápidos

Introducción

1960-1965Segunda Generación

Introducción

VENTAJAS

1.-Aumento de la capacidad de memoria.2.-Reducen el tamaño y3.-Reducen el consumo eléctrico de las máquinas y4.- Aumentan su fiabilidad

Posibilidad de transmitir ono transmitir electricidad,hizo a las computadoras,rápidas, pequeñas ybaratas.

Válvula de vacío Transistores

Cambio

Introducción

El primer ordenador con transistores, el ATLAS 1962, se

construyó en 1956.

Introducción

1960 invención del michochip

Introducción

1965-1975Tercera Generación

Introducción

1.-Aparición de los circuitos integrados (chips) . 2.-Miniaturización. 3.-Aumento de la velocidad, 4.-Mayor número de programas y lenguajes de programación.

El primer aparato basado totalmente en circuitos integrados es el IBM Serie 360.

Introducción

1975-1985Cuarta Generación

Introducción

Microprocesadores

Introducción

Se funda Apple

Basada en el microprocesador Intel 8088,tenia una característica muy interesante: sunuevo sistema operativo, MS-DOS, que hacíaque el uso de la computadora fuera muchomás fácil.

Aparición de computadoras personales

Lanza al mercado su primera computadora

Introducción

¿Informática?

Introducción

La informática es una ciencia

Tratamientoautomáticodeinformación

Mediante un

ordenador

Facilitar tareas

Datos

5x5Ordenador

Datos

transformados

=25

Introducción

Pensamientos abstractos Pensamientos concretos

Informática

Introducción

Elaborar documentos

Crear efectos visuales

Estadística Jugar

Folletos y libros

Correo electrónico

Controlar procesos

industriales

Información contable

Escuchar música

Introducción

Competencia Profesional

Adecuación de los

trabajadores al Cambio de

tecnología

TIC ´S

Introducción

Impacto de TIC’S

Sector Social

Sector Educativo

Sector Económico

Sector Político

Introducción

Comunicación a distancia.

Información abundante y

variada

Introducción

Impulso de negocios y actividad empresarial

Introducción

Campos que utilizan y aplican la informática, ésta se encuentra en la medicina, en la ingeniería, en las comunicaciones, en las industrias, en las empresas, en el mundo artístico, en el ámbito investigativo y científico, en los hogares, etc.

Introducción

En el aspecto social:

Se ha creado una polémica que gira principalmenteen torno a la comunicación a través de dispositivoselectrónicos que, aunque ha facilitado el intercambiode información entre individuos ubicados a largasdistancias, ha llegado a desplazar en cierta forma lasrelaciones sociales "cara a cara".

Introducción

En el aspecto de la educación:

Las TIC han revolucionado el método de aprendizaje,complementando la educación impartida a través delibros y revistas escolares, facilitando el acceso de losestudiantes a una mayor masa de información yfomentando la creatividad y la iniciativa de los mismos.

puede ser objeto de distracción para losestudiantes.

Usuarios de las TI

El término “usuario” es aquel que define a los

individuos que se mantienen en contacto con

las TIC.

Sector laboral.

Conocer y manejar TIC´s son parte de lascompetencias que son tratadas comoindicadores

Introducción

Clasificación de TIC según su enfoque.

Equipos: Se refiere a todos los dispositivos electrónicos que se pueden conectar por red.

Servicios: Se refiere a las funcionalidades que brinda una compañía para que el rendimiento de un equipo pueda ser explotado.

Introducción

¿Qué es el Internet?

Es un conjunto de ordenadores o dispositivosinterconectados de manera global que permitecompartir información y recursos con los demás.

Introducción

¿Cómo se creo el Internet?

Introducción

¿Que servicios ofrece el internet?

World Wide Web (www) Correo electrónico Conexión remota (telnet, ssh) Transferencia de ficheros (FTP) Televisión, radio y telefonía por internet Migrar Infraestructura física a la nube.

Introducción

¿Qué es el Internet de las cosas?

Se refiere a los avances de las TIC aplicables a cualquier aparato físico endonde se pueda implementar automatización y conexión mediante unared

Introducción

Para que pueda existir el IOT debe existir un conjunto de tres factoresque necesitan ser combinados para que una aplicación funcionedentro del concepto de Internet de las Cosas.

• Los dispositivos • Control • Red

Introducción

Autos Tesla Casas inteligentes Control desde aplicaciones móviles Refrigeradores inteligentes Pólizas de seguros Pulseras inteligentes

Aplicaciones del internet de las cosas

Fases del desarrollo del internet de las cosas

Medición.

Control

Optimización

Autonomía

Introducción

2. Conceptos de Auditoría

Informática

Tema 2

2. Conceptos de Auditoría Informática

• Marco teórico

Bit Dominio de colisión Ancho de banda

NIC Red LAN

WAN Router Firewall

Switch DMZ VPN

Dirección IP Dirección MAC Software

Hardware DNS Servidor.

Base de datos Gestor de B.D WIFI

Backup Transacciones SPAM

Hacking Disco duro Debug


Informática es el conjunto de conocimientos científicos y técnicas que estudia eltratamiento automático de información utilizando dispositivos electrónicos y sistemascomputacionales. Incluye instrucciones de ciencias de la información interacciónpersona-computador, análisis y diseño de sistemas de información estructura de lastelecomunicaciones, arquitectura y gestión de la información.

¿Que es la Informática?


La informática sirve para realizar tareas y análisis en base a los datos almacenados, loscuales son procesados para obtener reportes que sirvan para lo toma de decisiones,además de elaborar documentos, enviar y/o recibir correo electrónico (email),realizar gráficos estadísticos, manejar la información de una empresa, controlarprocesos industriales, etc. Siendo su objetivo principal automatizar todo tipo deinformación, para poder automatizar tareas, aumentar la productividad y eliminarerrores humanos.

¿Para que sirve la informática?


La auditoría informática es el proceso de recoger, agrupar evaluar evidencias paradeterminar si un sistema de información salvaguarda los activos, mantiene laintegridad de los datos, lleva a cabo eficazmente los fines de la organización y utilizaeficientemente los recursos así como verificar que se cumple con las leyes yregulaciones establecidas.

Definición de Auditoría Informática.


Es un proceso sistemático.

Variabilidad en los

procedimientos.

Objetividad en la

evaluación.

Aplicable a diferentes

rubros.

Independencia neutral.

Puntos importantes a considerar.


El auditor sólo puede emitir un juicio global o

parcial basado en hechos y situaciones

incontrovertibles.

Realizar una evaluación y un informe de los acontecimientos

revisados.

Acatar y conocer losprincipios establecidos, enocasiones son algunasleyes y otras disciplinasestablecidas.

Puntos importantes a desempeñar por el auditor.


Optimizar los recursos

disponibles para tener un mejor

aprovechamiento de los equipos.

Analizar las posibilidades

futuras de acuerdo con la estrategia de la empresa.

Establecer una política de

mantenimiento informático y el

análisis de la normativa general de la institución.

Incrementar la satisfacción de los

usuarios de los sistemas

computarizados

Objetivos de la auditoría informática.


Establecimiento de una política de seguridad online. Página web,

correos electrónicos, servidores, etc.

Estudiar la composición de la red informática de la empresa y monitorear que la comunicación esta

en optimo funcionamiento.

Crear matriz de existencias de riesgos con su respectiva

ponderación.

Objetivos de la auditoría informática.


Conocimiento del sistema

Análisis de riesgos y

amenazas

Análisis y evaluación de

controles

Informe de auditoría

Seguimiento de las

recomendaciones.

Fases de una auditoría Informática

¿Qué es un estándar?

Un estándar es una norma o patrón aplicable quepermite una mejora en cualquier proceso odesarrollo.

• .

¿Qué es calidad?

Atributo de que permite a un objeto o entidadsobresalir del resto.

• .


3. Tipos de auditoría

Tema 3.

3. Tipos de Auditoría

Por el sujeto que laefectúa:

Auditoría Interna.

Auditoría Externa.

Por su contenido y fines:

Auditoría de Gestión.

Auditoría Organizativa.

Auditoría Operacional.

Auditoría Financiera.

Auditoría Contable.

Auditoría Informática.

Por su amplitud:

Auditoría total.

Auditoría parcial.

Por su frecuencia:

Auditoría permanente.

Auditoría ocasional.

Factores diferenciadores entre Auditoría interna y externa

Designación.

Profesional que la ejecuta.

Forma de contratación.

Destino del informe, Periodicidad y costes.



Auditoría Informática

Auditoría de Base de

datosAuditoría de

Mantenimiento

Auditoría de la Gestión del C.D

Auditoría Lógica Auditoría

de Desarrollo

Auditoría Física

Auditoría de Comunicaciones y

redes

Auditoría de Protección de

datos

4. Auditoría del Desarrollo de

Sistemas

Tema 4.

Desarrollo de software.

• Un proceso de desarrollo de software es la descripción de unasecuencia de actividades que deben ser seguida por unequipo de trabajadores (programadores ) para generar unconjunto coherente de productos (aplicaciones)

Cuando se hace referencia al desarrollo de software, se estáhablando de la elaboración de un programa informático elcual tiene por objetivo cumplir con una función establecida.

63

4. Auditoría del Desarrollo.

Auditoría de la organización y gestión del área dedesarrollo.

• .

Auditoría de proyectos de desarrollo de sistemas deinformación.

• .

Esta auditoría se desglosa en dos grandes apartados:


.• Comparar las actividades o tareas ejecutadas con las

actividades proyectadas.

.

• Realizar los ajustes necesarios, encontrar errores,pérdidas o modificaciones no autorizadas de lainformación en la aplicación.

.

• Retro-alimentar el sistema mediante el análisis.

Objetivos de la Auditoría de Desarrollo.

Realizar controles internos sobre:

La operación del sistema.

Los procedimientos de entrada de datos, el procesamiento de

información y la emisión de resultados.

La seguridad del área de

desarrollo.

El análisis, desarrollo e implementación de la

aplicación.

Recomendaciones para la auditoría de desarrollo.


Un "Objetivo de Control", es unadefinición del resultado o propósito quese desea alcanzar implementandoprocedimientos de control específicosdentro de una actividad de tecnologíainformática y sistemas de información.

Además, se aportan una serie depruebas de cumplimiento quepermitan la comprobación de laexistencia y correcta aplicación dedichos controles.


Controles

Algunos ejemplos de controles son. Estimar tiempos en cada fase del proyecto. Debe existir una orden de aprobación del proyecto Debe asignarse un responsable o director del proyecto. Elegir herramientas de desarrollo. Debe existir documentación de toda la metodología. Participación de los responsables de las áreas afectadas.


Aceptación del sistema por los usuarios antes deponerse en explotación.

Retirar sistema antiguo y migrar bases de datos. Se debe supervisar el trabajo de los usuarios con el

nuevo sistema. Poner en marcha el mecanismo de mantenimiento. Identificar los requerimientos de sistema.


Controlar que se sigan las etapas del ciclo de vida. Debe existir un diccionario de datos o repositorio. Debe de existir un manual técnico y de usuario. Se debe programar, probar documentar cada

componente.



• En principio, el ciclo de vida de un proyecto softwareincluye todas las acciones que se realizan sobre éldesde que se especifican las características que debetener, hasta que se mantiene en operación. A vecesse incluyen en el ciclo de vida las modificaciones quepueden realizarse al sistema para adaptarse a nuevasespecificaciones

71


• Modelo en cascada

• El modelo de desarrollo en cascada. Uno de estos modelos del ciclo de vida, quizás el más ampliamente utilizado, es el del desarrollo en cascada. En él, cada etapa deja el camino preparado para la siguiente, de forma que esta última no debe comenzar hasta que no ha acabado aquélla.

72

73


Scrum es un proceso para el desarrollo de softwareque aplica un conjunto de buenas prácticas paratrabajar colaborativamente por medio de iteracioneslogrando obtener el mejor resultado y valor alproyecto. .

Metodología SCRUM



Scrum.

• Desarrollada por Ken Schwaber, Jeff Sutherland yMike Beedle, define un marco para la gestión deproyectos con un rápido cambio de requisitos,sus características son:

• El Desarrollo de Software se realiza medianteiteraciones, denominados Springs, que tienenuna duración de 30 días que debe presentarse alcliente, se realizan reuniones diarias de 15minutos del equipo de desarrollo paracoordinación e integración

75

Se puede utilizar la metodología Scrum cuando: No se entrega al cliente lo que necesita. Las entregas se alargan demasiado. Los costes se disparan. La calidad no es aceptable. Reaccionar ante la competencia. La moral de los equipos esta baja y la rotación es alta. Se requiere utilizar un proceso especializado en el

desarrollo.



Metodología CMM

El modelo CMM es una metodología extremadamente útilpara una organización dedicada al desarrollo que permiteevaluarse y establecer prioridades para mejorar susprocesos de desarrollo y consecuentemente aumentar lacalidad del mismo software.


• CMM se puede utilizar para evaluar a unaorganización con una escala de cinco niveles demadurez de procesos. Cada nivel de laorganización de acuerdo a su estandarización delos procesos en la materia que se evalúa. Lostemas pueden ser tan diversas como la ingenieríade software, ingeniería de sistemas, gestión deproyectos, gestión de riesgos, sistema deadquisición de tecnología de la información (TI) yde gestión de personal

78


¿Qué es la madurez de un proceso de software?Es el punto hasta el cual un determinado proceso esexplícitamente definido, administrado, medido, controlado yefectivo.

La estructura de más alto nivel del CMM son los cinco niveles demadurez que permitirá tener una plataforma bien definidadesde la cual podremos obtener un proceso definido,administrado, medido, controlado y efectivo.

Cada uno de estos niveles nos indicara que tan capaz es unproceso.

Diagramas de Flujo y Pseudocódigo



.• Es la representación gráfica de los pasos que deben

seguirse para resolver un problema.

.

• El traducir una descripción narrada a diagrama de flujoagrega claridad y precisión a la descripción de una tarea.

.

• Además, al elaborar el diagrama de flujo, se descubrensituaciones que no habían sido consideradas.

Diagrama de flujo


.

• Debe estar adecuada a ciertos estándares, con el fin deque sea entendida por cualquier persona dedicada alcampo de la computación.

.

• En los diagramas de flujo se utilizan figuras geométricasconectadas por líneas.

.

• Cada una de las figuras representa una etapa en lasolución del problema; dentro de ellas se anotanindicaciones.

Diagrama de flujo


.

• En la actualidad se emplean poco, pero resultan muyútiles cuando se comienza en el estudio de laprogramación.

.

• El problema con los diagramas de flujo es que a medidaque crece la complejidad, también crece el detalle de losdibujos.

.

• Esto llegaba a convertirlos en figuras fraccionadas (puesde otro modo no cabrían en la hoja), y difíciles de seguiry entender.

Diagrama de flujo (Desventajas)


. • Debe tener principio y fin

.

• Las líneas de conexión o de flujo deben ser siemprerectas, si es posible verticales y horizontal nuncacruzadas o inclinadas; para conseguir lo anterior esnecesario apoyarse en conectores.

.

• Las líneas que enlazan los símbolos entre sí deben estartodas conectadas.

Reglas básicas para la construcción de Diagramas de flujo


.

• Se deben dibujar todos los símbolos de modo que sepueda seguir el proceso visualmente de arriba haciaabajo (diseño de top-down) y de izquierda a derecha.

.• Realizar un gráfico claro y equilibrado

.

• Evitar la terminología de un lenguaje de programación omáquina.



.

• Utilizar comentarios al margen (si es necesario) para queéste sea entendible por cualquier persona que loconsulte.

.

• A cada bloque o símbolo se accede por arriba y/o por laizquierda y se sale por abajo y/o por la derecha.

.

• Si el diagrama abarca más de una hoja es convenienteenumerarlo e identificar de donde viene y a donde sedirige.



La auditoría del desarrollo trata de verificar la existencia yaplicación de procedimientos de control adecuados quepermitan garantizar que el desarrollo de sistemas deinformación sea llevado a cabo según estos principios deingeniería, o por el contrario, determinar las deficienciasexistentes en este sentido.


INICIO O FIN DE PROCESO

Indica el inicio o el fin de un diagrama de flujo. Dentro de la figura se

debe escribir “inicio o fin” según sea el caso.

ACCIONES U OPERACIONES

Se utilizan para señalar las actividades, los pasos o

las instrucciones en forma secuencial.

ENTRADA DE DATOS

Representa la entrada y salida de datos en la

computadora

Diagramas de flujo

Gestión del área de

desarrolloAnálisis


LINEAS DE FLUJO

Indican el sentido o dirección que lleva el

diagrama de flujo desde su inicio hasta su fin.

DECISIÓN

Permite decidir entre 2 opciones o caminos a

seguir

CONECTOR

Indica la continuidad del diagrama de flujo en una

misma pagina. Dentro de la circunferencia se anota un

numero o letra

Diagramas de flujo

Gestión del área de

desarrolloAnálisis


SALIDA (IMPRESIÓN)

Indica un resultado mostrado como

consecuencia de proceso llevado a cabo

CICLO REPETITIVO

Indica la utilización de una estructura repetitiva

CONECTOR DE PÁGINA

Indica la continuidad del diagrama de flujo de una

página a otra. Se debe especificar con letra o

numero esta secuencia.

Diagramas de flujo

92

Accs

Accs.

Accs

AccsAccs

?

Secuencial Alternativa

Falso Verdadero


Tipos de diagramas de flujo

93

Accs

Accsx=x+1

Si x= 10

For

Cierto

FalsoÍndices

While



Ciclo de 1 a 10

x= 1

94

Accs

?

Repetido o Do While

Falso

Verdadero



Ejemplo de un diagrama de flujo:Problema: Elaborar un programa que calcule la sumatoria de dos números.

Inicio

a,b

C=a+b

X

C

X

Fin


96

Inicio

Leer variables, c1,c2,c3,Prom

Prom=(c1+c2+c3)/3

If(prom>=60)

Fin

Si No

Aprobado con prom

No aprobado


Ejercicio: Calcular el promedio de 3 calificaciones.

..

• Los algoritmos se deben escribir en un lenguaje que separece al lenguaje de la computadora

..

• Es decir es una imitación del código de las computadoras alque se le conoce pseudocódigo.

.

• Se concibió ya que el diagrama de flujo es lento de crear ydifícil de modificar.

.• Es fácil de utilizar ya que es similar al español o al ingles etc.

Pseudocódigo


.

• Requiere de ciertos símbolos privilegiados que ya tienensignificado establecido.

.• Dichos indicadores del pseudocódigo se les conoce como

palabras clave (keywords)

.

• Por ejemplo, la palabra “escribe” es una palabra claveque ya tiene significado predefinido a diferencia de lasvariables.

Pseudocódigo


Pseudocódigo en ingles

Begin

End

Read/input

Write

If____then

Else

For

While

Repeat

Until

Pseudocódigo en español

Inicio

Fin

Leer/entrada de datos

Imprimir/Salida de datos

Si_____entonces

Sino/Caso contrario

Desde

Mientras

Repetir

hasta

Pseudocódigo


Ejemplo en pseudocódigoProblema: Elaborar un programa que calcule la sumatoria de 2 números.

Programa suma dos númerosVariables N1, N2, S enterosINICIO

LEER N1LEER N2S=N1+N2ESCRIBIR S

FIN

DONDE:N1=Variable que recibe el primer numeroN2=Variable que recibe el segundo numeroA la variable S se le asigna la suma de los dos números


Inicio

a,b

S=a+b

X

C

X

Fin

Se desea obtener una tabla con las depreciacionesacumuladas y los valores reales de cada año de un automóvilcomprado en $180,000 pesos en el año 1992, durante losseis años siguientes; suponiendo un valor de recuperación de$12,000. Realizar el análisis del problema, conociendo laformula de la depreciación anual constante D para cada añode vida útil.

D= costo-valor de recuperaciónvida útil


Ejercicio.

Costo originalEntradas Vida útil

Valor de recuperación

Depreciación en cada añoProcesos Calculo de la depreciación acumulada

Calculo del valor del automóvil en cada año

Depreciación anual por añoSalidas Depreciación acumulada en cada año

Valor del automóvil en cada año


Tema 5.Inicio

Costo original, vida útil, valor de recuperación, año

Valor actual=costoDepreciación= (costo-valor de

recuperación)/vida útilAcumulado=0

Mientras (Año<=vida útil)

Acumulado=acumulado + depreciaciónValor actual = valor actual-depreciación

Imprimir valores Año=año+1

Fin

Diagrama de flujo

Calculo de depreciaciónIntroducir Costo

Vida útilValor de recuperación

Imprimir cabeceras de tabla Establecer el valor inicial del añoCalcular depreciaciónMientras valor año <= vida útil

Calcular depreciación acumuladaCalcular valor actualImprimir una línea de la tabla con los valores calculadosIncrementar el valor del año en uno.

Fin de mientras


Pseudocodigo

Año Depreciación Depreciación acumulada

Valor anual

1992 $28,000 $28,000 $152,000

1993 $28,000 $56,000 $124,000

1994 $28,000 $84,000 $96,000

1995 $28,000 $112,000 $68,000

1996 $28,000 $140,000 $40,000

1997 $28,000 $168,000 $12,000



107

Lenguajes de Programación.


108

• Cualquier departamento o área de una organización es susceptible deser auditado y presenta ciertas circunstancias que hacen importante elárea de desarrollo y por tanto su auditoría.

• Los avances en tecnologías de las computadoras han hecho queactualmente el factor de éxito de la informática sea la mejora de lacalidad del Software.

• El gasto destinado al Software es cada vez superior al que se dedica a hardware.


Importancia de la auditoría de desarrollo.

• Crisis del Software, incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran

número de organizaciones.

• Ejemplo Rotación de Personal

• El Software como producto es difícil de validar. Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costos de mantenimiento, el fracasos en proyectos de desarrollo denota la inexistencia o mal funcionamiento de los controles


Importancia de la auditoría de desarrollo.


• Los datos del Government Accounting Office Report(EEUU) muestran este hecho:

• Un 1,5 % se usó tal y como se entregó

• Un 3,0 % se usó después de algunos cambios

• Un 19,5 % se usó y luego se abandono o se rehizo

• Un 47 % se entregó pero nunca se usó

• Un 29 % se pagó pero nunca se entregó

111


112

5. Auditoría de las Bases de Datos

Tema 5.

¿Qué es una base de datos?Se define una base de datos como unaconjunto de datos organizados yrelacionados entre sí, los cuales sonrecolectados y explotados por lossistemas de información de unaorganización.

5. Auditoría de las Bases de datos.

115


Es el proceso que permite medir,asegurar, demostrar, monitorear yregistrar los accesos a la informaciónalmacenada en las bases de datosincluyendo la capacidad de determinar:

*Quien accede a los datos.

*Cuando se accedió a los datos.

*Desde que dispositivo o aplicación.

*Desde que ubicación en la red.

*Cual fue la sentencia SQL ejecutada.

*Cual fue el efecto del acceso a la base dedatos.


Auditoría de las Bases de datos

¿Por qué es importante?

Toda información financiera reside en bases de datos y deben existircontroles relacionados con el acceso a las mismas.

Se debe poder demostrar la integridad de la información

La información confidencial de los clientes, son responsabilidad de lasorganizaciones.



Postgre SQL

Un sistema gestor (SGBD) de base es una plataforma que sirve como interfaz y permite lamanipulación de los datos garantizando así su integridad y la seguridad de la información.

119


Modelo de base de datos


120

Vistas

Características de un SGBD

Integridad Respaldo y recuperación

Control de concurrencia

Redundancia mínima

Consistencia

Seguridad

Abstracción de la información

Independencia


122



123

Data Definition Language

Data Manipulation Language

SQL Structured Query Language

Monitorear los permisos de acceso a usuarios y el registro de las actividades o transacciones así como revisar los procedimientos de respaldo y recuperación de la

base de datos.

Objetivo de la Auditoría de la auditoría de las bases de datos.


Auditoría de transacciones. (RAT)

Tipos de Auditoría

Auditoría de actividades. (RA)


126

Auditoria de Actividades: consiste en controlar lasactividades que realizan los usuarios en los objetos de labase de datos y entenderemos como objetos todas lastablas, vistas, restricciones de integridad que los usuarioscrean en la base de datos.

Este proceso de monitoreo de las actividades de losusuarios permite encontrar posibles accesos a objetos noautorizados, conexiones en horas o días fuera de horariosnormales. Toda esta actividad se va almacenando en unatabla o en un archivo que llamaremos el registro deauditoría (RA)


127

Auditoria de Transacciones: La auditoría detransacciones consiste en implementar una serie decontroles que permiten llevar una bitácora de todas lastransacciones que los usuarios realizan, pero a un nivel talque podamos establecer una historia de cómo seprodujeron los cambios. Al igual que en el tipo anterior, esnecesario crear un registro de auditoría al quellamaremos registro de auditoría de transacciones(RAT).


Generalmente durante una auditoría se monitorea elcomportamiento de:

Las actividades y las transacciones efectuadas.

Las modificaciones a esquemas (sentencias DDL) CREATE, ALTER, DROP yTRUNCATE

Cambios en los datos (sentencias DML) SELECT, INSERT, UPDATE

128

Elementos a auditar.

Modificaciones de cuentas y privilegios.


Estudio previo y plan de trabajo.

Concepción de la BD y la selección del hardware y software.

Diseño y carga.Explotación y

mantenimiento.

Revisión post-implementaci

ón.

Objetivos de control del ciclo de vida de una base de datos


Sistemas gestores de base de datos. Monitor de transacciones. Diccionario de datos. Software de extracción de Datos Archivos Log y de Transacciones de la Base de datos

Herramientas de auditoría.


¿Donde aplicar auditoría de las bases de datos?


ORGANIZACIONES SECTOR PUBLICO

EMPRESAS SECTOR PRIVADO

6. Auditoría de Mantenimiento

Tema 6.

Definición. Es una importante revisión y análisis que facilita la mejora delos resultados de mantenimiento y proporciona continuidad enel trabajo colaborando en la toma de decisiones, gestión ycontrol del mantenimiento permitiendo que las organizacionesmantengan equipos e instalaciones en óptimo funcionamiento.

6. Auditoría de Mantenimiento.


Colaborar en la toma de decisiones, gestión y

control del área

Ayudar en la corrección de los defectos presentados.

Verificar que el plan de

mantenimiento este bien

estructurado de acuerdo a

las necesidades de la

organización. .

Mantener un nivel de servicio

óptimo en los equipos de

trabajo.

Revisar los equipos a intervalos

programados antes de que

aparezca algún fallo.

Objetivos de la Auditoría de Mantenimiento.

El objetivo que se persigue al realizar una auditoríano es juzgar al responsable de mantenimiento nicuestionar su forma el trabajo del área, es parasaber en qué situación se encuentra dichodepartamento, en un momento determinado,identificar puntos de mejora y determinar quéacciones son necesarias para mejorar resultados.

• .

¿Por qué hacer una auditoría de mantenimiento?


Tipos de Mantenimiento

Correctivo

Preventivo

Predictivo

En uso

De alta disponibilidad


TPM es una metodología de mantenimiento cuyoobjetivo es eliminar las pérdidas en produccióndebidas al estado de los equipos, o en otras palabras,mantener los equipos en disposición para producir asu capacidad máxima productos de la calidadesperada.

Mantenimiento Productivo Total


TPM • Mejora la calidad, equipos más precisos.

TPM • Mejora la productividad.

TPM • Mejora el servicio a los usuarios.

TPM • Da continuidad.

TPM • Mejora el uso y aprovechamiento de los equipos.

TPM • Reduce significativamente los gastos.

TPM • Descomposturas inesperadas.

Algunos beneficios al implementar TPM.


Análisis de los medios técnicos. Herramientas de trabajo. Lugar de trabajo. Sistemas de comunicación. Plan de mantenimiento. Análisis del sistema de información. Análisis del stock de repuestos.


7. Auditoría Física

Tema 7.

7. Auditoría Física.

Definición

La auditoría física permite conocer y evaluar el estadofísico tanto de las instalaciones como de los equipos, asícomo también elaborar planes para evitar fallos odisminuir su efecto en caso de que sucedan.

Seguridad Física podemosentender todos aquellosmecanismos destinados aproteger físicamentecualquier recurso del sistema

Estos recursos son desde unsimple teclado hasta una cintade backup con toda lainformación de nuestraentidad, pasando por lapropia CPU de la máquina, elcableado eléctrico o eledificio.

¿Qué es la seguridad física?


Evaluar niveles de seguridad física en el hardware.

Analizar riesgos, amenazas y vulnerabilidades.

Analizar y revisar planes de contingencia.

Revisar la seguridad física en los sistemas mas importantes.

Aplicar soluciones concretas utilizando estándares establecidos.

Objetivos de la Auditoría Física


Medidas según el momento del fallo. (Antes)

Es un conjunto de acciones utilizadas para evitar el fallo o, ensu caso, aminorar las consecuencias que de él se puedanderivar. Ubicación de edificios. Ubicación del CPD dentro del edificio. Potencia eléctrica. Sistema contra incendios.


Medidas según el momento del fallo. (Durante)

Un plan de recuperación de desastres se constituye en el plande contingencia y debe asegurar los siguientes aspectos. Establecer un periodo crítico de recuperación. Determinar prioridad de procesos. Establecer objetivos de recuperación en un determinado

tiempo.


Medidas según el momento del fallo. (Después)

Las aseguradoras vienen a compensar las pérdidas, gastos o responsabilidades una vez corregido el fallo. Centros de procesamiento de datos y equipamiento. Interrupción del negocio. Documentos o registros valiosos. Errores y omisiones. Cobertura de fidelidad.



..• Políticas, normas y planes sobre seguridad.

..• Auditorías pasadas generales y parciales.

.• Contratos de seguros.

.• Actas e informes de especialistas en el ramo.

.• Planes de contingencia y matriz de riesgos.

.• Informes sobre accesos y visitas.

Evaluación de riesgos y fuentes a utilizar que debe estar accesibles.

Alcance de la

auditoría.

Adquisición de

información general

Planificación y Gestión

Ejecución de

auditoría

Resultados de las

pruebas

Conclusiones y comentarios

Borrador del

informe

Discusión con los responsables del

área

Informe final

Seguimiento de las

modificaciones


Fases de la auditoría

8. Auditoría de Sistemas

Tema 8.

Definición

La auditoría de sistemassupone la revisión yevaluación de los controles ysistemas de informática, asícomo su utilización, eficienciay seguridad en la empresa, lacual procesa la información.


Un sistema es módulo ordenado de elementos que se encuentran interrelacionados yque interactúan entre sí. El concepto se utiliza tanto para definir a un conjunto deconceptos como a objetos reales dotados de organización.

¿Que es un sistema?



..

• Mejorar la relación coste-beneficio de los sistemas deinformación.

..

• Incrementar la satisfacción y seguridad de los usuarios dedichos sistemas informáticos.

.• Garantizar la confidencialidad e integridad a través de

sistemas de seguridad y controles profesionales.

.• Minimizar la existencia de riesgos, tales como virus o hackers,

por ejemplo.

.

• Educar a los usuarios sobre el control de los sistemas deinformación

Objetivos de la auditoría de sistemas.

¿Por qué es importante la auditoría de sistemas?

La auditoría de sistemas es fundamental paragarantizar el desempeño y seguridad de lossistemas informáticos de una empresa, que seanconfiables a la hora de usarlos y garanticen lamáxima privacidad posible.


• Independencia

• Integridad

• Competencia profesional

• Confidencialidad

• Responsabilidad

• Conducta profesional

• Normas técnicas.

Perfil del auditor de sistemas


Los controles son un conjunto de disposicionesmetódicas, cuyo fin es vigilar las funciones y actitudesde las empresas y para ello permite verificar si todo serealiza conforme a los programas adoptados, órdenesimpartidas y principios admitidos.

• Riesgo.

• Seguridad.


Controles

Cla

sifi

caci

ón

de

los

con

tro

les.

Preventivos

Detectivos

Correctivos

Automáticos o lógicos

Controles


157

Fases de la Auditoría


Contacto

Planificación de la

operación

Desarrollo de la

auditoría

Fase de diagnostico

Conclusiones

9. Auditoría de las comunicaciones y

redes.

Tema 9.

Definición.

La auditoría de las comunicaciones y redes se refierea la revisión de los procesos de autenticación en lossistemas de comunicación, los cuales mediantepruebas se evalúa su desempeño y seguridadlogrando así una comunicación más eficiente ymanejo seguro de la información.

9. Auditoría de las Comunicaciones y Redes

¿A que tipos de empresas se aplica la auditoría encomunicaciones y redes?

Se aplica en especial a empresas que poseentecnología de comunicaciones tales como la radio,televisión, teléfono y telefonía móvil,comunicaciones de datos, redes informáticas eInternet,


¿Qué es una red informática?

Una red informática es un conjunto de dispositivosinterconectados entre sí a través de un medio, queintercambian información y comparten recursos.


Modelos de Comunicación

9. Auditoría de las Comunicaciones y redes

Modelo OSI

• Aplicación

• Presentación

• Sesión

• Transporte

• Red

• Enlace de datos

• Física

Modelo TCP/IP

• Aplicación

• Transporte

• Internet

• Acceso a la red

Protocolos y estándares de cifrado para redes inalámbricas

WEP (Wired Equivalent Privacy)

WPA (Wi-Fi Protected Access)

WPA2 (Wi-Fi Protected Access 2)

TKIP (Temporal Key Integrity Protocol), AES (AdvancedEncryption Standard)


Auditoría de la red física. (Se debe garantizar que exista.)

Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de

comunicación para evitar accesos físicos. Control de utilización de equipos de prueba de

comunicaciones para monitorear la red y el tráfico en ella. Control de las líneas telefónicas. VoIP monitoreos,

permisos. Documentación sobre la topología y diagrama de la red.


Auditoría de la red física. (Se debe garantizar que exista.)

Medidas para separar las actividades de los electricistas yde cableado de líneas telefónicas.

Adecuada seguridad física del equipo de comunicaciones. Existan revisiones periódicas de la red. Establecer las tasas de rendimiento de los procesos y

análisis del consumo de datos y memoria de losservidores.


Existencia de contraseñas de acceso. Esquema de seguridad de alto nivel en la red. Garantizar que en una transmisión, sea recibida

solo por el destinatario. Revisar el registro de las actividades de los

usuarios en la red. Encriptación de los accesos a la información.

Auditoría de la red lógica.


Inhabilitar el software o hardware con acceso libre. Los mensajes lógicos de transmisión han de llevar

origen, fecha, hora y receptor. Los datos sensibles, solo pueden ser impresos en un

dispositivo especifico y deben ser vistos desde unaterminal debidamente autorizada.

(Recomendaciones)


Asegurar que los datos que viajan por Internetvayan cifrados.

Deben existir políticas que prohíban la instalaciónde programas o equipos personales en la red.

Uso de VPN para transmitir los datos de maneramas segura.

Generar ataques propios para probar solidez de lared

(Recomendaciones)


10. Auditoría de la Seguridad.

Tema 10.

Definición.

Referido a datos e información, verificando disponibilidad,integridad, confidencialidad, autenticación y no repudio.

• Para comprender el concepto de auditoría de laseguridad, es necesario saber el significado de algunosconceptos que se describen a continuación.

10. Auditoría de la Seguridad

Seguridad

Confidencialidad

Integridad

Control

Autorización

Autenticación

Disponibilidad

10. Auditoría de la Seguridad

Seguridad Física Seguridad lógica.

La auditoría de seguridad abarca dos aspectos importantes:


Auditoría de Seguridad Física.Se refiere a la ubicación de la organización, evitandoubicaciones de riesgo, y en algunos casos no revelando lasituación física de esta. También está referida a lasprotecciones externas (arcos de seguridad, CCTV,vigilantes, etc.) y protecciones del entorno.


..• Evaluar niveles de seguridad

..• Analizar riesgos, amenazas y vulnerabilidades.

.• Analizar y revisar los planes de contingencia.

.• Revisar la seguridad física en general.

.

• Aplicar métodos y soluciones concretas.

Algunos objetivos de la Seguridad Física


Auditoría de Seguridad Lógica.La auditoría de la seguridad lógica esla encargada de establecermecanismos y barreras quemantengan a salvo los sistemas deinformación de la organizaciónaplicando controles de seguridadlógica como encriptamiento, firmadigital, certificados digitales, clavesde acceso, software de control deacceso.


..• Limitar accesos.

..• Otorgar los privilegios mínimos a usuarios.

.

• Revisar que los archivos y aplicaciones se utilicenadecuadamente.

.

• Gestionar la disponibilidad, integridad, confidencialidad,autenticación y no repudio.

.

• Aplicar métodos y soluciones concretas.

Algunos objetivos de la Seguridad Lógica


Estándares base para auditorías de seguridad informática

Cobit (objetivos de control de la tecnología de lainformación).

ISO 17799

ISO 27001

ISO 27002


NORMAS NFPA75

TIA 942

ISACA


Estándares base para auditorías de seguridad informática

1. Identificar las vulnerabilidades a las que se veexpuesto el recurso computacional y el sitio webde la organización desde internet por parte dedelincuentes informáticos.

Proceso de una auditoría deseguridad informática.


2. Auditoría desde la red interna (LAN) dela organización para la identificación de lasvulnerabilidades generadas desde elinterior de la organización aprovechandolos beneficios de la red de área local.



3. Trabajo sobre los equipos ejecutandoherramientas software de identificación devulnerabilidades, identificación de tipos dearchivos contenidos de software espía,virus informáticos y análisis personales delestado físico, lógico y locativo de cada unode los equipos.



4. Ejecución de entrevistas sobre el manejode políticas de seguridad física, lógica ylocativa de los miembros de laorganización.



¡MUCHAS GRACIAS!

183

agenda...agenda 7. auditoría física 7.1 definición 7.2 objetivos de la auditoría física 7.3...

Documents