AUDITORIAy SEGURIDAD INFORMÁTICA

Informática Básica AplicadaUNLaR Ciclo 2008Prof. Marcelo Martínez

Porqué?• La vulnerabilidad acarreada

por los computadores• Impacto de los

computadores sobre las tareas de auditoría

• La adecuación de las normas de auditoría a un entorno electrónico

Auditar

• Ejercer control sobre una determinada acción

• Donde auditamos a menudo?– A nivel personal– A nivel laboral– A nivel académico

Control

• Actividad/es o acción/es realizadas por uno o varios elementos de un sistema, que tienen como finalidad la prevención, detección y corrección de errores que afecten la homeostasis del sistema

I/E Proceso C O/S

Etimología – AUDITORIUS• Latín: Auditor, que tiene la

virtud de oir

Diccionario – AUDITOR

• Revisor de cuentas colegiado

Auditoria

• Es el examen de la información por TERCERAS partes, distintas de quienes la generan y quienes la utilizan

• Se produce con la intención de establecer su suficiencia y adecuación a las normas.- Es necesario poder medirlas, necesitamos un patrón

• Produce informes como resultado del examen critico

• Su objetivo es: evaluar la eficiencia y eficacia, determinar cursos de acción alternativos y el logro de los objetivos propuestos

• MEJORA CONTINUA!!!!

Auditoria según IMC

• Agrega a la definición anterior.– La auditoria requiere el

ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos

IMC= Instituto Mexicano de Contabilidad

Pregunta?

• Alberto es contador• Alberto es responsable

– Ambos son juicios?

NO• La primera es una afirmación,

observación de lo que es verdadero para nosotros. Nos permiten describir al manera en que vemos las cosas

• La segunda es un JUICIO, un tipo especial de DECLARACION. Es una apreciación, opinión o interpretación NUESTRA de lo que observamos.

Caso de estudio ….

Virginia, tiene 30 años, estudió en Córdoba y es muy agradable como ser humano.

Actualmente esta casada, tiene 3 hijos y su capacidad profesional asombra a todos sus colegas.

Vive en La Rioja y su casa es muy linda.

Hoy nos acompaña en esta clase y esta muy alegre de compartir con todos nosotros la clase.

Que es un JUICIO?

• Una declaración• No son verdaderos o falsos. Dejan siempre

abierta la posibilidad a discrepar• Son validos o inválidos. Su validez depende

de la AUTORIDAD que la comunidad confiera a otros para emitirlos

• El grado de efectividad de los juicios esta directamente relacionado con la autoridad formal o informal que hemos conferido a la persona que los hace.

• Temas relacionados:– Ontología del lenguaje– Postulados básicos de la OL

Fundamentación de los JUICIOS

• Cada vez que emitimos un juicio asumimos el compromiso social de fundarlo, es decir, mostrar las observaciones pasadas en las que se asienta nuestro juicio y la inquietud o interés por el futuro que lo motiva

Auditoria Informática

• Revisión, análisis y evaluación independiente y objetiva de un entorno informático– Hardware– Software

• Base• Aplicación

– Comunicaciones– Procedimientos-Gestión de

recursos informáticos

Tener en cuenta…

• Los objetivos fijados• Los planes, programas y

presupuestos• Controles, leyes aplicables,

entre otros….

Tipos de Auditoría

• Evaluación del sistema de control interno

• De cumplimiento de políticas, estándares y procedimientos

• De seguridad: física y lógica• De operaciones/gestión• Interna/Externa

Fuentes

• Todo tipo de fuente referido a:– Hardware– Software– Instalaciones– Procedimientos

Check List

• Revisión del Hardware– -– -

• Revisión del Software– -– -

• Instalaciones– -– -

• Procedimientos– -– -

Principios fundamentales de la auditoria en una computadora• AUTOMATISMO del

computador– Programa - Algoritmo– No al comportamiento

probabilístico

• DETERMINISMO del algoritmo– Ante un conjunto de datos de

entrada, siempre se obtengas una misma salida

El Control

• Interno– Creación de relaciones adecuadas

entre las diversas funciones del negocio y los resultados finales de operación.

• Interno Electrónico– Comportamiento de los circuitos

electrónicos. Ej. Transmisión de datos• Interno Informático

– Verifica el cumplimiento de los procedimientos, estándares y normas fijadas por la dirección de informática, como así también los requerimientos legales

La seguridad de los sistemas de informaciónLa protección de los activos

informáticos

Seguridad, algunos conceptos• Seguridad

– Protección contra perdidas– Es un sistema seguro,

impenetrable?• Grados de seguridad Vs costo

– Naturaleza de las amenazas – contingencias

• A que apuntan las medidas de seguridad?– Integridad, confidencialidad,

privacidad y continuidad

Integridad

• Completa y correcta• Datos libres de errores

– Intencionales como no intencionales

• No contradictorios!!!

Confidencialidad

• Proteger la información contra la divulgación indebida

Privacidad

• Tiene que ver con la persona• Similar a intimidad• Información que un individuo no

desea tenga difusión generalizada

• Que sucede cuando el derecho de los individuos se contraponen con las necesidades de las organizaciones privadas o publicas?

Continuidad

• Seguir Operando!!!!

Sensitividad

• Atributo que determina que la información deberá ser protegida

Identificación

• Declaración de ser una persona o programa– Numero ID– T Magnética– Registro de Voz– Etc

Autenticar

• Es una prueba de identidad

• Debe ser secreto• Ejemplos....LAS

PASSWORDS

Autorización

• Función del sistema de control

• Es el QUIEN DEBE HACER QUE...

• Debe ser especifica, no general

Contingencia

• Es una amenaza al conjunto de los peligros a los que están expuestos los recursos informáticos de una organización

• Recursos:– Personas– Datos– Hardware– Software– Instalaciones– .....

Categorías de Contingencias

Ambientales• Ambientales naturales

– Inundación, incendio, filtraciones, alta temperatura, terremoto, derrumbe explosión, corte de energía, disturbios, etc

• Ambientales operativas– Caída o falla del procesador,

periféricos, comunicaciones, software de base/aplicación, AC, Sistema eléctrico, etc

Categorías de contingencias Humanas

• Humanas no intencionales– Errores y/o omisiones en el

ingreso de datos, errores en backup, falta de documentación actualizada, en daños accidentales...

• Humanas intencionales– Fraude, daño intencional,

terrorismo, virus, hurto, robo, etc.

Cuales son los desastres mas comunes que pueden afectar los sistemas?• Virus• Fuego• Inundaciones• Cortes de electricidad• Interferencias eléctricas• Fallas mecánicas• Sabotaje• Empleados descontentos• Uso indebido de recursos

Vulnerabilidad

• Debilidad que presenta una organización frente a las contingencias que tienen lugar en el entrono del procesamiento de datos.

• Falta de protección ante una contingencia• Se da ante la falta de:

– Software de protección– Responsables a cargo de la SI– Planes de seguridad, contingencias– Inadecuada/o:

• Selección y capacitación• Diseño de sistemas, programación,

operación• Backups• Auditorias I/E

Consecuencia

• Daño o perdida potencial ante la ocurrencia de una contingencia

• Algunas consecuencias inmediatas:– Imposibilidad de procesar– Perdida de archivos y registros– Lectura indebida

• Otras consecuencias mediatas:– Legales– Económicas/financieras– Incidencia en otros sistemas

Tipos de Medidas de seguridad

• Preventivas– Limitan la posibilidad de que

se concreten las contingencias

• Detectivas– Limitan los efectos de las

contingencias presentadas

• Correctivas– Orientadas a recuperar la

capacidad de operación normal

Que tipo de controles pueden efectuarse para aumentar la seguridad?

• Acceso Físico• Acceso Lógico

Métodos de control de accesos

• Contraseñas– Características, fuerzas y

debilidades

• Otros medios de autenticación– Impresiones digitales– RPV– Medidas de geometría de mas

manos– Iris del ojo

Que es una pista de auditoria?• Huella o registro generado

automáticamente• Orientado a un análisis

posterior• Permite reconstruir el

procesamiento• Es un CAMINO HACIA

ATRÁS...

Backups y recuperación

• Hardware• Software• Algunas preguntas

frecuentes– De que dependen?– Como se manifiestan?– Donde se realizan?– Cada cuanto deben

realizarse?

Que es y como contribuye la criptografía a la SI?• Ininteligibilidad a usuarios

no autorizados• Métodos de encriptación

– Valiosos para la protección de datos y redes

– Usan algoritmos matemáticos en función de cadenas validas o passwords

Delitos informáticos

• Delito de computación– Usa una computadora

• Objeto del delito• Escena del delito• Instrumento del delito

• Delito en Internet– Acceso, uso, modificación y

destrucción no autorizados de Hard/Soft, datos y recursos de redes

– Distribución no autorizada de información

– Copia no autorizada de software– ....

Perfil del delincuente informático• En base a estudios, su perfil es

– Joven• Mayoría de técnicos jóvenes• Ausencia de responsabilidad profesional

– Mejores y mas brillantes empleados– Ocupan puestos de confianza– No se encuentran solos. Cuentan con

ayuda– Aprovecha el abandono de las normas o

estándares– Síndrome de Robin Hood– Juega con el desafío. Reto intelectual

Planes principales de un programa de administración de la seguridad de sistemas• Seguridad• Contingencias

ES MUY IMPORTANTE EL APOYO DELA DIRECCION SUPERIOR, SIN CUYORESPALDO EXPLICITO Y CONTINUOTALES PLANES NO PODRAN SERCUMPLIDOS CON EXITO

Plan de seguridad - PS

• Conjunto de medidas preventivas, detectivas y correctivas destinadas a enfrentar los riesgos a los que están expuestos los activos informáticos de una organización

• Su objetivo esencial es proteger los activos informáticos en cuanto a integridad, confidencialidad, privacidad y continuidad

Plan de contingencias - PC• Conjunto de procedimientos que

luego de producido un desastre, pueden ser rápidamente ejecutados para restaurar las operaciones normales con máxima rapidez y mínimo impacto

• Es un capitulo del plan de seguridad – Medidas correctivas

• Objetivos esenciales– Minimizar el impacto– Promover una rápida recuperación de

la operatividad

Matriz de Análisis de Riesgos

• Como es su estructura?• Qué información podemos

extraer de ella?

Gracias