Your SlideShare is downloading. ×
Ensayo auditoria de sistemas
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Ensayo auditoria de sistemas

2,496
views

Published on

Published in: Education

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,496
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
38
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. ALDEA UNIVERSITARIA CIUDAD ANGOSTURAPNF INFORMATICAAUDITORIA DE SISTEMASX Trimestre ENSAYO Nro 3Facilitador:ING. ERIC ESCOBAR Triunfador Infante, Siudy C.I. 13.326.473 Ciudad Bolívar, octubre de 2011
  • 2. CONTROLES INTERNOS Y EXTERNOS QUE PUDIERA VULNERAR LA SEGURIDAD DE LA INFORMATICA.Para que la seguridad física y lógica de la estructura informática nopueda ser vulnerada debe existir un enlace entre la Tecnología, elProceso y los usuarios o personas y que estos tres elementos funcionende una manera coordinada, ya que estos elementos funcionan de lasiguiente manera: 1. Tecnología: medidas tecnológicas de protección. 2. Procesos: supervisar el correcto funcionamiento de la tecnología y las personas. 3. Personas: utilizan la tecnología y ejecutan los procesos.Existen varios controles que pueden minimizar la vulnerabilidad de lossistemas como lo son: Controles relacionados con el negocio, tales como políticas de seguridad corporativas, relaciones con terceros, acuerdos de confidencialidad, etc., que se deben tener en cuenta de forma común por toda la organización. Controles relacionados con el personal, incluyendo formación y concienciación, funciones, confidencialidad y recomendaciones a aplicar. Controles relacionados con el sistema de información, incluyendo la seguridad física en el entorno y soportes, y la seguridad lógica en las comunicaciones. Controles relacionados con la revisión del sistema, analizando la posible auditoría del mismo
  • 3. Las organizaciones son responsables de la protección de lainformación que gestionan ante las amenazas de este entorno y deben,por todos los medios disponibles, garantizar su confidencialidad,integridad y disponibilidad.La indetenible evolución de las nuevas tecnologías en las organizacionesy, en general, el desarrollo y/o progreso de la “Sociedad de laInformación” no hace más que agravar la situación. Motivado a los riesgosque surgen relacionados con tecnologías y procesos de negocio, querequieren sistemas, soluciones y servicios emergentes. Soluciones paragarantizar, de forma continuada en el tiempo, la actividad de lasorganizaciones, la seguridad de la información base del negocio y losderechos de los individuos, en una sociedad cada vez más informatizada,cumpliendo al mismo tiempo con leyes como Ley Orgánica contra losDelitos Informáticos de nuestro país.La seguridad no es un producto: es un proceso. Un proceso continuo quedebe ser controlado, gestionado y vigilado.Para establecer una adecuada gestión de la seguridad de la información.Las características de la seguridad a considerar son: Disponibilidad: asegurar que los usuarios autorizados tienen acceso cuando lo requieran en los tiempos adecuados. Integridad: garantía de la exactitud y de que la información sea completa, así como los métodos de su procesamiento. Confidencialidad: asegurar que la información es sólo accesible para aquellos autorizados.
  • 4. Autenticidad de los usuarios del servicio: asegurar la identidad de los usuarios que manejan o acceden al activo. Autenticidad del origen de los datos: asegurar la identidad u origen de los datos. Trazabilidad del servicio: asegurar que en todo momento se podrá determinar quién hizo qué y en qué momento. Trazabilidad de los datos: asegurar que en todo momento se podrá determinar quién ha accedido a los datos. Se deben detectar las situaciones que se están realizando sin control adecuado y para ello deben ser analizados los aspectos importantes en materia de seguridad, como la confidencialidad de los datos de clientes o la disponibilidad de los sistemas informáticos de la empresa.Una adecuada gestión de la seguridad de la información debe contribuir adisminuir los riesgos que la empresa soporta, y a minimizar los daños enlos activos de información, si alguno de los riesgos llega a materializarse.Los datos del cliente si éste es persona física, o de contactos del cliente,representantes, etc., deben ser recogidos en ficheros y deben serlesaplicadas las medidas de seguridad correspondientes, dependiendo deltipo de datos.De forma habitual, los datos de los clientes pueden llegar a laorganización a través de mail, fax, correo, teléfono, y suelen serrecabados por iniciativa del cliente que solicita un servicio. Es importanteinformar y solicitar el consentimiento del cliente (si éste es necesario) parallevar a cabo el tratamiento de los datos de carácter personal. Asimismo,
  • 5. estos datos deben validarse antes de ser introducidos en el sistema deinformación, ya que el cliente puede existir ya en las bases de datos de laempresa, o puede haber cambiado parte de sus datos.Una vez capturados los datos, el cliente pasa a formar parte del circuitocomercial de la empresa.Una vez identificados los procesos involucrados en la gestión de clientes,el siguiente paso es identificar las principales amenazas que puedenafectar a los activos de información. Las amenazas pueden tener unorigen natural o humano, y pueden ser accidentales o deliberadas.Las amenazas generadas por el entorno pueden ser catástrofes naturales(inundaciones, tormentas, terremotos, etc.), acciones de origen humanointencionadas (posibles robos, asaltos, errores técnicos, etc.), oaccidentales como el corte del suministro eléctrico.Las principales amenazas que pueden sufrir los sistemas de informaciónson las que afectan a alguno de los elementos que lo forman o explotan.Podemos distinguir tresgrupos:- hardware- software- personal que utiliza cualquiera de los dos recursos anteriores.En los equipos físicos del sistema de información (servidores, equiposinformáticos y hardware de comunicaciones), existen amenazas debidas aerrores de uso o mantenimiento, y a fallos o averías de cualquiera de suscomponentes.En relación al software de tratamiento de la información (sistemaoperativos, aplicaciones de negocio, ofimática, etc.) las principalesamenazas pueden ser fallos en programación (que permitan la existencia
  • 6. de puertas traseras, errores en la realización de cálculos, etc.), y códigomalicioso como son los virus informáticos, gusanos, troyanos, etc.Respecto al uso que realiza el personal de la empresa en el desarrollo dela gestión del pedido, las posibles amenazas son: errores nointencionados, como el borrado accidental de información o la malaintroducción de datos y amenazas de origen intencionado, como posiblesrobos o filtraciones de información.La gestión de la seguridad de la información debe atender un objetivoclaro: reducir el nivel de riesgo al que la organización se encuentraexpuesta. Para ello el proceso a seguir es: 1. Analizar los principales activos de información involucrados en los procesos de negocio y determinar su valor para la organización. 2. Identificar las potenciales amenazas que pueden afectar a cada uno de los activos inventariados. 3. Estimar el impacto que tendrían para la empresa la materialización de las amenazas sobre los diferentes activos. Se debe considerar que el costo de un incidente de seguridad no es solamente las pérdidas económicas directas derivadas del mismo, sino que también aparecen costes indirectos, relacionados con las consecuencias que conlleva.Para reducir la vulnerabilidad que presenta todo sistema de información,existe la posibilidad de implantar medidas de seguridad.

×