La auditoría evalúa la infraestructura, operaciones, sistemas, bases de datos y redes de una organización. Incluye revisiones de hardware, software, seguridad, procesos y desempeño para garantizar la confiabilidad, eficiencia y cumplimiento normativo de los sistemas de información. Adicionalmente, evalúa la seguridad en los departamentos de sistemas y la privacidad de la información.
2. Auditoria de la infraestructura y de las operaciones
Concepto Auditoria de
Sistemas
Revisión de Hardware
Revisión del Sistema Operativo
Revisión de la base de datos
Revisiones de Área Local
(LAN’S)
Revisiones Control
Operativo de Redes
Revisión Operaciones SI
Revisiones Reporte de problemas por
gerencia
Revisiones de disponibilidad y
reporte de utilización
3. AUDITORIA Es una disciplina encargada de
aplicar un conjunto de técnicas y
DE procedimientos con el fin de evaluar
la seguridad, confiabilidad y
SISTEMAS eficiencia de los sistemas de
información.
Adicionalmente se encarga de evaluar la
seguridad en los departamentos de
sistemas, la eficiencia de los procesos
administrativos y la privacidad de la
información.
4. equipo instalado.
Plazo de las
Adquisiciones
obsolescencia Preparar cambios en configuración de
tecnológica cronograma software o Hardware
Solicitudes de análisis costo /beneficio
Revisión adquisición
Hardware
Uso
microcomputadoras
formularios
Política de Desarrollo y ejecución de
Procedimiento Verificar cronogramas
cambios
Verificar la Justo a
de
documentación tiempo
hardware
5. Conejos
No dañan al sistema, sino que se limitan a
copiarse, generalmente de forma exponencial, hasta que la
cantidad de recursos consumidos
(procesador, memoria, disco...) se convierte en una negación
de servicio para el sistema afectado.
6. Entrenamiento Servicio
Costo técnico
Mantenimiento hardware
Requerimientos Capacidad
Impacto Seguridad
en datos
Cambios de software
programados.
Revisión Implementación Problemas
sistema prueba
resueltos
operativo Autorizado
Seguridad Datos compartidos
y control Pistas de auditoria
Pruebas del
sistema
Documentar
cambios efectuados al sistema
7. Superzapping
Una utilidad de los antiguos mainframes de IBM que
permitía a quién lo ejecutaba pasar por alto todos los
controles de seguridad para realizar cierta tarea
administrativa, presumiblemente urgente, que estos
sistemas poseían, o de una llave maestra capaz de abrir
todas las puertas.
SALAMI
Se presenta en entidades financieras.
8. Claves primarias y secundarias
Entidad Nombres específicos y
coherentes
Tablas
Diseño Relación
Índices ,frecuencia de
acceso y norma
Uso correcto de los tipos Reduzca
Acceso de índices tiempo
Revisión
Base de Niveles de
Administración Seguridad Usuario y/o grupos
Datos
Copias de seguridad y
Interfaz recuperación
Importar y Otros
exportar sistemas
Confidencialidad e
integridad
Portabilidad
Lenguaje estructurado de
consulta
9. Ejemplo: Diccionario de Datos
Modulo De Clientes (Índice)
Este modulo cuenta con las opciones de
inclusión, bajas, consulta y modificar. Los campos que maneja
son los siguientes:
Código
Nombre
Dirección
Ciudad
Estado
Código Postal
Ultima compra
Situación
Teléfono y clave lada
RFC
10. Pantalla General De Los Módulos
Para el sistema informático que se
presenta, se tuvo que seleccionar un
lenguaje que permitiera trabajar bajo
ambiente Windows,
11. administrador personal de
asignar soporte
Llaves servidor de
archivos robo de tarjetas
El servidor de Asegurado chips o a la
archivos LAN computadora
Revisión
LAN’S
Extintores de
Incendio electricidad
estática Alfombra
controles
subidas de protector
voltaje
Aire control de suministro Especificaciones
Protección acondicionado humedad de energía del fabricante
libre de polvo, humo y
otros objetos (alimentos)
Disquetes y cintas de daño
seguridad ambiente
efectos de campo
magnético
Acceso
remoto Solo una
Prohibido persona
12. Canales ocultos
es un cauce de comunicación que permite a un proceso
receptor y a un emisor intercambiar información de forma
que viole la política de seguridad del sistema
Caballos de Troya
Troya actual es un programa que aparentemente
realiza una función útil para quién lo ejecuta, pero
que en realidad - o aparte - realiza una función que
el usuario desconoce, generalmente dañina
13. Manual de operación y documentación
del LAN
base de
Acceso autorizada saber/hacer
por escrito
controles admón de
Entrevista con conocimiento confidencialidad
Revisión usuarios seguridad
LAN’S
periodo de
Sesión de ingreso automáticamente inactividad
contraseñas únicas cambiarlas
usuarios encriptadas periódicamente.
14. acceso a las aplicaciones
Las personas
procesadores de transacciones
conjunto de datos autorizados
una persona autorizada con
autorización de seguridad
control general de red
Encripción en red para datos
Revisiones Control sensitivos
Operativo de Redes
Implementación de políticas y
procedimientos de seguridad
Desarrollo de planes de prueba
, conversión y aceptación para red
procesamiento de datos distribuido en la
organización
Redes de procesamiento que asegure la consistencia
con las leyes y reglamentos de transmisión de datos
15. Restringir el acceso a bibliotecas de
Operaciones de archivos, datos , documentación y
computo procedimientos de operación
Restringir la corrección a
programas y problemas de
datos
Revisiones de
las operaciones Limitar acceso a código de
SI fuente de producción
Elaborar cronograma de trabajos
para procesar
Inventariar el sistema para cintas locales y
ubicación especifica de almacenamiento
Autorización de documentos de
entrada
Control Entrada de
datos Acatar pólizas establecidas
Producción, manteniendo y revisión de reportes de
control
16. Pruebas de software
periódicas
Revisiones de las
operaciones SI Operaciones Errores ocultos en el software y
Automatizadas no notificados por el operador.
asistidas
Plan de eventualidad de un
desastre que sea automática
documentados y aprobados
17. Revisar procedimientos operativos o de
para registrar evaluar y procesamiento
resolver problemas
Entrevistas con
operadores de SI
Registro de desempeño
Causas- Problemas
Revisión registrados para buscar
Reporte de solución
Problemas por
la gerencia
prevenir la
repetición
A su debido
tiempo
18. registro de
problemas
plan de monitoreo
desempeño de
hardware cronograma de
procesamiento
Revisiones
Disponibilidad
Hardware y
Reporte de reportes
frecuencia del
utilización contabilidad de
mantenimiento
trabajos
reportes validez del
proceso
19. Aplicación programas, fecha de
Registro de consola
entrada, tiempo de preparación para verificar trabajos
datos, tiempo procesamiento, fechas programados
salida terminados
Prioridades de
Aplicaciones criticas procesamiento de la
haber escasez de aplicación
recurso /capacidad
Revisión de
Cronograma volumen Elaboración de
de trabajo y del cronogramas para
personal Cantidad de personal requerimientos de
asignado en turno soporta
servicio
la carga de trabajo
Programa diario de
trabajos baja prioridad
final turno pasar al
planificador de trabajos
trabajos terminados y
motivos de no terminar
21. Alteraciones de la información antes de
ingresar al sistema
Puede suceder porque al
momento de elaborar los
documentos
fuentes, consignan
información que no
corresponde a la
realidad.
Incluir documentos que no
forman parte de la información
que se esta procesando.
22. MODIFICACIONES AL CAPTURAR LA
INFORMACION
RIESGO DE ERROR DIGITACION DE LA INFORMACION
Error humano.
•Falta de controles en los programas.
•Malas intenciones de las personas que participan en
los procesos.
23. PUERTAS TRAMPA
En este tipo de fraude, se utiliza el sistema
operacional para entrar por puntos vulnerables de los
programas y modificar la información.
LAS ESCOBILLAS
Pretende conseguir información de cierto grado de
privacidad para hacer espionaje o cometer ilícitos.