Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas
Auditoria de Sistemas
-
Upload
fernando-estupinan -
Category
Education
-
view
10.956 -
download
2
description
Transcript of Auditoria de Sistemas
Auditoria de la infraestructura y las operaciones
Helena RamírezNury Mojica
Auditoria de la infraestructura y de las operaciones
Concepto Auditoria de Sistemas
Revisión de Hardware
Revisión del Sistema Operativo
Revisión de la base de datos
Revisiones de Área Local (LAN’S)
Revisiones Control Operativo de Redes
Revisión Operaciones SI
Revisiones Reporte de problemas por gerencia
Revisiones de disponibilidad y reporte de utilización
AUDITORIA DE SISTEMAS
Es una disciplina encargada de aplicar un conjunto de técnicas y procedimientos con el fin de evaluar la seguridad, confiabilidad y eficiencia de los sistemas de información.
Adicionalmente se encarga de evaluar la seguridad en los departamentos de sistemas, la eficiencia de los procesos administrativos y la privacidad de la información.
Revisión Hardwareobsolescencia tecnológica
equipo instalado.
Plazo de las Adquisiciones
Preparar cronograma cambios en configuración de
software o Hardware
Solicitudes de adquisición análisis costo /beneficio
Política de ProcedimientoUso microcomputadoras
formularios
VerificarDesarrollo y ejecución de
cronogramas
Verificar la documentación cambios de hardware
Justo a tiempo
Conejos
No dañan al sistema, sino que se limitan a copiarse, generalmente de forma exponencial, hasta que la
cantidad de recursos consumidos (procesador, memoria, disco...) se convierte en una negación de servicio para el
sistema afectado.
Revisión sistema operativoMantenimiento
Costo EntrenamientoServicio técnico
Requerimientoshardware
Capacidad
ImpactoSeguridad en datos
Implementación Cambios de software programados.
pruebaProblemas resueltos
Autorizado
Seguridad y controlDatos compartidos
Pistas de auditoria
DocumentarPruebas del sistema
cambios efectuados al sistema
Superzapping
Una utilidad de los antiguos mainframes de IBM que permitía a quién lo ejecutaba pasar por alto todos los controles de seguridad para realizar cierta tarea administrativa, presumiblemente urgente, que estos sistemas poseían, o de una llave maestra capaz de abrir todas las puertas.
SALAMI
Se presenta en entidades financieras.
Revisión Base de DatosDiseño
Entidad Claves primarias y secundarias
Nombres específicos y coherentesTablas
Relación
Índices ,frecuencia de acceso y norma
Acceso Uso correcto de los tipos de índices
Reduzca tiempo
AdministraciónNiveles de SeguridadUsuario y/o grupos
Copias de seguridad y recuperación
InterfazConfidencialidad e integridad
Importar y exportarOtros sistemas
PortabilidadLenguaje estructurado de consulta
Ejemplo: Diccionario de Datos Modulo De Clientes (Índice) Este modulo cuenta con las opciones de inclusión, bajas,
consulta y modificar. Los campos que maneja son los siguientes:
Código Nombre Dirección Ciudad Estado Código Postal Ultima compra Situación Teléfono y clave lada RFC
Pantalla General De Los Módulos
Pantalla General De Los Modulos
Para el sistema informático que se presenta, se tuvo que seleccionar un lenguaje que permitiera trabajar bajo ambiente Windows,
Revisión LAN’Scontroles
Llaves servidor de archivos
asignaradministrador
personal de soporte
El servidor de archivos LAN Asegurado robo de tarjetas chips o a la
computadoraExtintores de Incendio
Protecciónelectricidad estática
Alfombra
subidas de voltaje protector
Aire acondicionadocontrol de humedad
suministro de energía Especificaciones del fabricante
libre de polvo, humo y otros objetos (alimentos)
Disquetes y cintas de seguridad daño ambiente
efectos de campo magnético
Acceso remoto ProhibidoSolo una persona
Canales ocultoses un cauce de comunicación que permite a un proceso
receptor y a un emisor intercambiar información de forma que viole la política de seguridad del sistema
Caballos de Troya Troya actual es un programa que aparentemente
realiza una función útil para quién lo ejecuta, pero que en realidad - o aparte - realiza una función que
el usuario desconoce, generalmente dañina
Revisión LAN’S
controlesManual de operación y documentación del LAN
Acceso
autorizada por escrito
base de saber/hacer
Entrevista con usuarios
conocimiento
admón de seguridad
confidencialidad
Sesión de ingreso
automáticamente
periodo de inactividad
usuarios
contraseñas únicas encriptadas
cambiarlas periódicamente.
Revisiones Control Operativo de Redes
Las personas
acceso a las aplicaciones
procesadores de transacciones
conjunto de datos autorizados
una persona autorizada con control general de red
autorización de seguridad
Encripción en red para datos sensitivos
Implementación de políticas y procedimientos de seguridad
Desarrollo de planes de prueba , conversión y aceptación para red
procesamiento de datos distribuido en la organización
Redes de procesamiento que asegure la consistencia con las leyes y reglamentos de transmisión de datos
Revisiones de las operaciones SI
Operaciones de computo Restringir el acceso a bibliotecas de archivos, datos , documentación y procedimientos de
operación
Restringir la corrección a programas y problemas de datos
Limitar acceso a código de fuente de producción
Elaborar cronograma de trabajos para procesar
Inventariar el sistema para cintas locales y ubicación especifica de almacenamiento
Control Entrada de datos
Autorización de documentos de entrada
Acatar pólizas establecidas
Producción, manteniendo y revisión de reportes de control
Revisiones de las operaciones SI
Operaciones Automatizadas no asistidas
Pruebas de software periódicas
Errores ocultos en el software y notificados por el operador.
Plan de eventualidad de un desastre que sea automática
documentados y aprobados
Revisión Reporte de Problemas por la gerencia
Entrevistas con operadores de SI
Revisar procedimientos para registrar evaluar y resolver problemas
operativos o de procesamiento
Registro de desempeño
Causas- Problemas registrados para buscar solución
prevenir la repetición
A su debido tiempo
Revisiones Disponibilidad Hardware y Reporte de utilización
plan de monitoreo desempeño de hardware
registro de problemas
cronograma de procesamiento
frecuencia del mantenimiento
reportes contabilidad de trabajos
reportes validez del proceso
Revisión de Cronograma volumen de trabajo y del personal
Aplicación programas, fecha de entrada, tiempo de preparación datos, tiempo procesamiento, fechas salida
Registro de consola para verificar trabajos programados terminados
Prioridades de procesamiento de la aplicación
Aplicaciones criticas haber escasez de recurso /capacidad
Elaboración de cronogramas para requerimientos de servicio
Cantidad de personal asignado en turno soporta la carga de trabajo
Programa diario de trabajos baja prioridad
final turno pasar al planificador de trabajos
trabajos terminados y motivos de no terminar
FRAUDE POR COMPUTADOR
Alteraciones de la información antes de ingresar al sistema
Puede suceder porque al momento
de elaborar los documentos
fuentes, consignan información que no
corresponde a la realidad.
Incluir documentos que no forman parte de la
información que se esta procesando.
MODIFICACIONES AL CAPTURAR LA INFORMACION
RIESGO DE ERROR DIGITACION DE LA INFORMACION
Error humano.•Falta de controles en los programas.•Malas intenciones de las personas que participan en los procesos.
PUERTAS TRAMPA
En este tipo de fraude, se utiliza el sistema operacional para entrar por puntos vulnerables de los programas y modificar la información.
LAS ESCOBILLAS
Pretende conseguir información de cierto grado de privacidad para hacer espionaje o cometer ilícitos.