diapositivas ultimas ok ok
-
Upload
camilo-rojas -
Category
Documents
-
view
1.807 -
download
0
Transcript of diapositivas ultimas ok ok
AUDITORÍA Y SEGURIDAD INFORMÁTICA
CRISTIAN CAMILO ROJAS MÉNDEZ NATALIA BUSTAMANTE GARCIA
SEGURIDAD Y AUDITORÍA INFORMÁTICA
A. AUDITORIA INFORMATICA:
1. Definición.2. Objetivos.3. Importancia.4. Alcance.5. Auditoria interna y externa.6. síntomas7. Tipos y clases.
B. SEGURIDAD INFORMATICA
1. Definición.2. Características de un sistema seguro3. División de la seguridad.4. Objeto de protección.5. Medios.6. Las amenazas.7. Técnicas de aseguramiento.
AUDITORÍA INFORMÁTICA
Definición: Es el examen critico que se realizan con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.
OBJETIVOS:
El control de la función
informática.
Análisis de los sistemas
informáticos.
La verificación del cumplimiento de la normativa general
de la empresa.
La revisión de la eficaz gestión de
los recursos materiales y
humanos informáticos.
IMPORTANCIA
Es importante la auditoria informática de datos, para mirar
la calidad y naturaleza de los
datos que entran a los sistemas
informáticos pues la información depende
de ellos
La auditoria de sistemas sirve, para
diseñar de forma correcta un sistema informático, pues no se puede depender
de un software y hardware mal
diseñados.
es necesaria una intervención de
auditoría informática se seguridad para
proteger del espionaje,
delincuencia y terrorismo a los computadores .
ALCANCE DE LA AUDITORIA INFORMÁTICA
El alcance en la auditoria informática se define como la precisión del entorno y los limites en que va a desarrollarse.
Este alcance debe figuran en el informe final, en donde se determinara no solo hasta donde se ha llegado, sino, también que puntos se omitieron.
De toda maneras la indefinición de la auditoria
informática compromete el éxito de la misma.
AUDITORIA INTERNA Y EXTERNALA AUDITORIA INTERNA
es realizada con recursos
materiales y personas que
pertenecen a la empresa
auditada. Los empleados que
realizan esta tarea son
remunerados económicamente
.Y estos deben
actuar periódicamente
realizando Revisiones
globales, como parte de su plan
Anual y de su actividad normal.
LA AUDITORIA EXTERNA.
es realizada por personas afines a
la empresa auditada; es
siempre remunerada. Se presupone una
mayor objetividad que en la Auditoría
Interna, debido al mayor
distanciamiento entre auditores y
auditados.
AUDITORIA INTERNA CONTRATA AUDITORIA EXTERNA
Motivos:1. Necesidad de auditar una materia de gran especialización, para
la cual los servicios propios no están suficientemente capacitados.
2. Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.
3. Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa.
4. Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa.
SÍNTOMAS DE NECESIDAD DE UNA AUDITORIA INFORMÁTICA
Síntomas de descoordinación y desorganización.
Síntomas de mala imagen e insatisfacción de los usuarios.
Síntomas de Inseguridad: Evaluación de nivel de riesgos.
TIPOS O CLASES DE AUDITORÍAS
6. Clases de Auditoria.
AREAS GENERALES AREAS ESPECIFICAS
Interna
Dirección
Usuario
Seguridad
Explotación
Desarrollo
Sistemas
Comunicaciones
Seguridad
1. DEFINICIÓN
La seguridad informática consiste en asegurar que los recursos del sistema de información(material
informático o programas) de una organización sean utilizados de la manera que se decidió y que el
acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su
autorización.
2. CARACTERÍSTICAS DE UN SISTEMA SEGURO
CONFIDENCIALIDAD
La información sólo debe ser
legible para los autorizados
DISPONIBILIDADDebe estar
disponible para cuando se necesita.
INTEGRIDADLa información solo puede ser modificada por
quien esta autorizado.
IRREFUTABILIDAD:
(No-Rechazo o No Repudio) Que
no se puede negar la autoría.
3. DIVISIÓN DE LA SEGURIDAD
dependiendo de las fuentes de amenazas
SEGURIDAD LÓGICA
Consiste en la aplicación de
barreras y procedimientos
que resguardan el acceso a los datos y
solo permiten acceder a ellos a
las personas autorizadas.
SEGURIDAD FÍSICAEs aquella que se
establece sobre los equipos en los
cuales se almacena la información.
4. OBJETOS DE PROTECCIÓN
EQUIPOS QUE LA SOPORTAN
Software, hardware y organización. USUARIOS
Individuos que utilizan la estructura
tecnológica y de comunicaciones que
manejan la información.
INFORMACIÓNObjeto de mayor importancia , se
resguarda de todo tipo de alteración, independiente del lugar donde se
encuentre (medio electrónico o físico
LOS ACTIVOS
5. MEDIOS PARA LA PROTECCIÓN
Asegurar que los operadores
puedan trabajar pero que no
puedan modificar los programas ni
los archivos que no
correspondan.
Asegurar que se utilicen los
datos, archivos y programas
correctamente por el
procedimiento elegido.
Asegurar que la información
transmitida sea la misma que
reciba el destinatario al
cual se ha enviado.
Asegurar que existan
sistemas y pasos de
emergencia alternativos de
transmisión entre diferentes
puntos.
Acceso restringido, con
contraseñas distintas para los usuarios actualizadas
constantemente, permisos bien establecidos.
Un intruso: que no esta autorizado
para acceder a los recursos.
Programas Maliciosos:
perjudican o hacen uso ilícito de los
recursos del sistema.
El usuario
6. LAS AMENAZAS Algunas circunstancias "no informáticas" pueden afectar
los datos, las cuales son imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización (en el caso de las comunicaciones).
Un siniestro
(robo, incendio, por agua)
7. TÉCNICAS DE ASEGURAMIENTOCodificar la información: Criptología,
Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos
personales del individuo.
Vigilancia de red
Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos
- antispyware, antivirus, llaves para protección de software, etc.
Mantener los sistemas de información con las actualizaciones que más impacten en la
seguridad.