Analisis Capitulo 6 Auditoria Informatica

INDICE

Introducción……………………………………………………………….…………… 2

Seguridad Lógica y Confidenciabilidad……………………………………………… 3

Seguridad Lógica……………………………………………………………………… 6

Riesgos y Controles a Auditar…..……………………………………….…….…….. 11

Encriptamiento…..…………………………………………………..……..………….. 14

Seguridad del Personal…...………………………………………..…………..…….. 16

Seguridad Física…………...………………………………………..…………..…….. 20

Seguridad Contra Virus…...………………………………………..………..……….. 25

Seguros………………..…...………………………………………..………..……….. 28

Seguridad en la Utilización de los Equipos….…………………..………..……….. 29

Seguridad al Restaurar el Equipo…………….…………………..……..………….. 30

Plan de Contingencia y Procedimientos de Respaldo para Casos de Desastres…………………………………………………………………..………….. 31

Análisis Grupal del Capítulo………………….…………….……..……......……….. 33

Conclusión………………….………………….…………….……..…..………….….. 34

INTRODUCCION

Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto de que en algunas entidades se creó inicialmente la función de auditoría informática para revisar la seguridad, aunque después se hayan ido ampliando los objetivos.

Ya sabemos que puede haber seguridad sin auditoría, puede existir auditoría de otras áreas, y queda un espacio de encuentro: la auditoría de la seguridad y cuya área puede ser mayor o menor según la entidad y el momento.

Lo cierto es que cada día es mayor la importancia de la información, especialmente relacionada con sistemas basados en el uso de tecnologías de la información y comunicaciones, por lo que el impacto de los fallos, los accesos no autorizados, la revelación de la información, y otras incidencias, tienen un impacto mucho mayor que hace unos años. De ahí la necesidad de protecciones adecuadas que se evaluarán o recomendarán en la auditoría de seguridad.

También es cierto que en muchos casos tan necesario o más que la protección de la información puede ser que las inversiones en sistemas y tecnologías de la información estén alineadas con las estrategias de la entidad, huyendo del enfoque de la tecnología por la tecnología.

SEGURIDAD LOGICA Y CONFIDENCIABILIDAD

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional.

Esta información puede ser de suma importancia y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. Antes esta situación, en el transcurso del siglo XX, el mundo ha sido testigo de la transformación de algunos aspectos de seguridad y de derecho.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar el llamado ''virus'' de las computadoras, el cual aunque tiene diferentes intenciones se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco.

Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus.

El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.

El sistema integral de seguridad debe comprender:

• Elementos administrativos.

• Definición de una política de seguridad.

• Organización y división de responsabilidades.

• Seguridad física y contra catástrofes (incendio, terremotos, etc.)

• Prácticas de seguridad del personal.

• Elementos técnicos y procedimientos.

• Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.

• Aplicación de los sistemas de seguridad, incluyendo datos y archivos.

• El papel de los auditores, tanto internos como externos.

• Planeación de programas de desastre y su prueba.

Se debe evaluar el nivel de riesgo que puede tener la información para poder hacer un adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente:

• Clasificar la instalación en términos de riesgo (alto, mediano, pequeño).

• Identificar aquellas aplicaciones que tengan un alto riesgo.

• Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto riesgo.

• Formular

...