Auditoria de la infraestructura y las operaciones

Helena RamírezNury Mojica

Auditoria de la infraestructura y de las operaciones

Concepto Auditoria de Sistemas

Revisión de Hardware

Revisión del Sistema Operativo

Revisión de la base de datos

Revisiones de Área Local (LAN’S)

Revisiones Control Operativo de Redes

Revisión Operaciones SI

Revisiones Reporte de problemas por gerencia

Revisiones de disponibilidad y reporte de utilización

AUDITORIA DE SISTEMAS

Es una disciplina encargada de aplicar un conjunto de técnicas y procedimientos con el fin de evaluar la seguridad, confiabilidad y eficiencia de los sistemas de información.

Adicionalmente se encarga de evaluar la seguridad en los departamentos de sistemas, la eficiencia de los procesos administrativos y la privacidad de la información.

Revisión Hardwareobsolescencia tecnológica

equipo instalado.

Plazo de las Adquisiciones

Preparar cronograma cambios en configuración de

software o Hardware

Solicitudes de adquisición análisis costo /beneficio

Política de ProcedimientoUso microcomputadoras

formularios

VerificarDesarrollo y ejecución de

cronogramas

Verificar la documentación cambios de hardware

Justo a tiempo

Conejos

No dañan al sistema, sino que se limitan a copiarse, generalmente de forma exponencial, hasta que la

cantidad de recursos consumidos (procesador, memoria, disco...) se convierte en una negación de servicio para el

sistema afectado.

Revisión sistema operativoMantenimiento

Costo EntrenamientoServicio técnico

Requerimientoshardware

Capacidad

ImpactoSeguridad en datos

Implementación Cambios de software programados.

pruebaProblemas resueltos

Autorizado

Seguridad y controlDatos compartidos

Pistas de auditoria

DocumentarPruebas del sistema

cambios efectuados al sistema

Superzapping

Una utilidad de los antiguos mainframes de IBM que permitía a quién lo ejecutaba pasar por alto todos los controles de seguridad para realizar cierta tarea administrativa, presumiblemente urgente, que estos sistemas poseían, o de una llave maestra capaz de abrir todas las puertas.

SALAMI

Se presenta en entidades financieras.

Revisión Base de DatosDiseño

Entidad Claves primarias y secundarias

Nombres específicos y coherentesTablas

Relación

Índices ,frecuencia de acceso y norma

Acceso Uso correcto de los tipos de índices

Reduzca tiempo

AdministraciónNiveles de SeguridadUsuario y/o grupos

Copias de seguridad y recuperación

InterfazConfidencialidad e integridad

Importar y exportarOtros sistemas

PortabilidadLenguaje estructurado de consulta

Ejemplo: Diccionario de Datos Modulo De Clientes (Índice) Este modulo cuenta con las opciones de inclusión, bajas,

consulta y modificar. Los campos que maneja son los siguientes:

Código Nombre Dirección Ciudad Estado Código Postal Ultima compra Situación Teléfono y clave lada RFC

Pantalla General De Los Módulos

Pantalla General De Los Modulos

Para el sistema informático que se presenta, se tuvo que seleccionar un lenguaje que permitiera trabajar bajo ambiente Windows,

Revisión LAN’Scontroles

Llaves servidor de archivos

asignaradministrador

personal de soporte

El servidor de archivos LAN Asegurado robo de tarjetas chips o a la

computadoraExtintores de Incendio

Protecciónelectricidad estática

Alfombra

subidas de voltaje protector

Aire acondicionadocontrol de humedad

suministro de energía Especificaciones del fabricante

libre de polvo, humo y otros objetos (alimentos)

Disquetes y cintas de seguridad daño ambiente

efectos de campo magnético

Acceso remoto ProhibidoSolo una persona

Canales ocultoses un cauce de comunicación que permite a un proceso

receptor y a un emisor intercambiar información de forma que viole la política de seguridad del sistema

Caballos de Troya Troya actual es un programa que aparentemente

realiza una función útil para quién lo ejecuta, pero que en realidad - o aparte - realiza una función que

el usuario desconoce, generalmente dañina

Revisión LAN’S

controlesManual de operación y documentación del LAN

Acceso

autorizada por escrito

base de saber/hacer

Entrevista con usuarios

conocimiento

admón de seguridad

confidencialidad

Sesión de ingreso

automáticamente

periodo de inactividad

usuarios

contraseñas únicas encriptadas

cambiarlas periódicamente.

Revisiones Control Operativo de Redes

Las personas

acceso a las aplicaciones

procesadores de transacciones

conjunto de datos autorizados

una persona autorizada con control general de red

autorización de seguridad

Encripción en red para datos sensitivos

Implementación de políticas y procedimientos de seguridad

Desarrollo de planes de prueba , conversión y aceptación para red

procesamiento de datos distribuido en la organización

Redes de procesamiento que asegure la consistencia con las leyes y reglamentos de transmisión de datos

Revisiones de las operaciones SI

Operaciones de computo Restringir el acceso a bibliotecas de archivos, datos , documentación y procedimientos de

operación

Restringir la corrección a programas y problemas de datos

Limitar acceso a código de fuente de producción

Elaborar cronograma de trabajos para procesar

Inventariar el sistema para cintas locales y ubicación especifica de almacenamiento

Control Entrada de datos

Autorización de documentos de entrada

Acatar pólizas establecidas

Producción, manteniendo y revisión de reportes de control

Revisiones de las operaciones SI

Operaciones Automatizadas no asistidas

Pruebas de software periódicas

Errores ocultos en el software y notificados por el operador.

Plan de eventualidad de un desastre que sea automática

documentados y aprobados

Revisión Reporte de Problemas por la gerencia

Entrevistas con operadores de SI

Revisar procedimientos para registrar evaluar y resolver problemas

operativos o de procesamiento

Registro de desempeño

Causas- Problemas registrados para buscar solución

prevenir la repetición

A su debido tiempo

Revisiones Disponibilidad Hardware y Reporte de utilización

plan de monitoreo desempeño de hardware

registro de problemas

cronograma de procesamiento

frecuencia del mantenimiento

reportes contabilidad de trabajos

reportes validez del proceso

Revisión de Cronograma volumen de trabajo y del personal

Aplicación programas, fecha de entrada, tiempo de preparación datos, tiempo procesamiento, fechas salida

Registro de consola para verificar trabajos programados terminados

Prioridades de procesamiento de la aplicación

Aplicaciones criticas haber escasez de recurso /capacidad

Elaboración de cronogramas para requerimientos de servicio

Cantidad de personal asignado en turno soporta la carga de trabajo

Programa diario de trabajos baja prioridad

final turno pasar al planificador de trabajos

trabajos terminados y motivos de no terminar

FRAUDE POR COMPUTADOR

Alteraciones de la información antes de ingresar al sistema

Puede suceder porque al momento

de elaborar los documentos

fuentes, consignan información que no

corresponde a la realidad.

Incluir documentos que no forman parte de la

información que se esta procesando.

MODIFICACIONES AL CAPTURAR LA INFORMACION

RIESGO DE ERROR DIGITACION DE LA INFORMACION

Error humano.•Falta de controles en los programas.•Malas intenciones de las personas que participan en los procesos.

PUERTAS TRAMPA

En este tipo de fraude, se utiliza el sistema operacional para entrar por puntos vulnerables de los programas y modificar la información.

LAS ESCOBILLAS

Pretende conseguir información de cierto grado de privacidad para hacer espionaje o cometer ilícitos.