Auditorías De Seguridad

Cristhian Camilo Monares Marin

Ingeniero en Informática

CC No. 1095912111

Actividad 1

Normas de Auditoría

Nombre Empresa: Tecno Service LTDA

Estado: La empresa presta servicios informáticos, pero no realiza internamente ni periódicamente una cultura y politica de auditoria externa, para la revision y correccion de fallos.

Descripción: La empresa prestar servicios locales y a domicilio en informática básica y avanzada, con la asesoría en nuevas herramientas, respaldo y recuperacion de datos, asi como mantenimiento preventivo y correctivo de equipos que son traídos de los clientes, para ser revisados y actualizados en las instalaciones de la oficina. Cuenta con más 30 personas laborando en diferentes labores tanto internas como externas, pero conociendo la clase de información y confianza en el trabajo que puede llegar a tomar, se esta hablando de procedimientos delicados y de mucha atención.

Que se puede revisar de la operación de la empresa:

Riesgos en el CPD:

Factores físicos.

• Cableado.

• La iluminación

• El aire de renovación o ventilación

• Las fuentes de alimentación.

Factores ambientales

• Incendios.

• Inundaciones.

• Sismos.

• Humedad.

Factores humanos

• Robos.

• Actos vandálicos.

• Actos vandálicos contra el sistema de red

• Fraude.

• Sabotaje.

• Terrorismo.

Fuente: http://www.tecnoservice.com

Actividad 2:

Métodos, técnicas o procedimientos para la evaluación de evidencia aplicables a la auditoría informática.

Introducción

Con lineamientos y herramientas estándar para el ejercicio de la auditoría informática se ha promovido la creación y desarrollo de mejores prácticas, por lo cual en el presente trabajo, expondremos algunas técnicas, métodos y herramientas de la auditoría cuyo objetivo es recoger, evaluar y agrupar evidencias para determinar si un sistema de información custodia y cuida el activo empresarial, además que mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.

Desarrollo

Seleccionar algunos de los métodos, técnicas o procedimientos para la evaluación de evidencia aplicables a la auditoría informática.

Algunas Técnicas para la evaluación de evidencias tenemos

Técnica de las Certificaciones

Técnica del Cálculo

Técnica de la Observación

Técnica de la Comprobación

La auditoría utiliza en gran medida el método deductivo-inductivo, ya que este permite realizar el levantamiento de información y la evaluación de los hechos que son objetos de estudio partiendo de un conocimiento general de los mismos, para luego dividirlos en unidades más pequeñas que permitan una mejor aproximación a la realidad con el fin de emitir una opinión o conjuntos de opiniones de manera profesional. Todo esto requiere que el auditor hago uso de una serie de procedimientos que deben ser realizados de forma ordenada, sistemática y lógica, con el fin de poder armar una crítica objetiva del hecho, área u objeto auditado.

Las principales Herramientas y/o procedimientos para la evaluación de evidencias son

Observación.

Una de las técnicas más populares, de mayor impacto y más utilizados para examinar los diferentes aspectos que repercuten en el funcionamiento del área de Informática o del propio sistema, es la aplicación de diversas técnicas y métodos de observación que permiten recolectar directamente la información necesaria sobre el comportamiento del sistema, del área de sistemas, de las funciones, actividades y operaciones del equipo procesador o de cualquier otro hecho, acción o fenómeno del ámbito de sistemas.

Realización de cuestionarios.

Los cuestionarios son una técnica de recopilación de infromación que permite que los analistas de sistemas estudien actitudes, creencias, comportamientos y características de varias personas principales en la organización que pueden ser afectados por los sistemas actual y propuesto.

Mediante el uso de cuestionarios el analista puede estar buscando cuantificar lo que ha encontrado en las entrevistas. Adicionalmente, los cuestionarios pueden ser usados para determinar que tan amplio o limitado es en realidad un sentimiento expresado en una entrevista. En forma inversa los cuestionarios pueden ser usados para investigar a una gran muestra de usuarios de sistemas, para tratar de encontrar problemas o recoger cosas importantes antes de que las entrevistas sean realizadas.

Entrevistas a auditados y no auditados.

Podría entenderse como entrevista a la recopilación de información que se realiza en forma directa, cara a cara y a través de algún medio de captura de datos.

Para llevar a cabo una entrevista, primero debe entrevistarse usted mismo. Necesita conocer sus preferencias y la manera en que afectarán sus preferencias. Su educación, intelecto, contexto cultural y emociones sirven como filtros poderosos para lo que estará oyendo en la entrevista.

Necesita pensar a fondo la entrevista antes de ir a ella. Visualizar por qué está yendo, qué preguntará y qué es lo que constituirá una entrevista satisfactoria. Debe anticipar cómo hacer que la entrevista sea satisfactoria también para su entrevistado.

Encuestas

Las encuestas constituyen otra de las técnicas más populares y de mayor uso en una auditoría de sistemas computacionales, y son útiles principalmente para averiguar opiniones sobre aspectos de la Informática tales como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, la oportunidad de la presentación de los resultados, entre otros juicios sobre la función informática. Podemos definir una encuesta de la siguiente manera:

Es la recopilación de datos concretos sobre un tema específico, mediante el uso de cuestionarios o entrevistas diseñados con preguntas precisas para obtener las opiniones de los encuestados, las cuales permiten, después de hacer una rápida tabulación, análisis e interpretación de esa información, conocer su punto de vista y sentimientos hacia un tópico específico.

Inventarios

Esta forma de recopilación de información consiste en hacer un recuento físico de lo que se está auditando, a fin de saber la cantidad existente de algún producto en una fecha determinada y compararla con la que debería haber según los documentos en esa misma fecha.

Consiste propiamente en comparar las cantidades reales existentes con las que debería haber para comprobar para que sean iguales o, en caso contrario, para resaltar las posibles diferencias e investigar sus causas.

Muestreo

El muestreo es el proceso de seleccionar sistemáticamente elementos representaticos de una población. Cuando estos elementos seleccionados son examinados de cerca, se supone que el análisis revelará información útil acerca de la población como un todo.

Hay muchas razones por las que se quiere seleccionar una muestra representativa de los datos a examinar, o personas representativas a entrevistar, aplicar cuestionarios u observar. Ellas incluyen:

Los costos contenidos

La agilización de la recolección de datos

La mejora de la efectividad

La reducción de la ascendencia

A modo de conclusión

El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias y a través de la utilización de las diferentes técnicas, herramientas y métodos de auditoría según lo establezca el auditor durante el proceso.

Actividad No 3

Caso aplicación de código de ética

Introducción

En materia de leyes, el mundo informático está esencialmente controlado o lo que quiere controlar en el mundo ideal por dos tipos de reglamentaciones: la ley de protección de libertades individuales y la ley de Propiedad Intelectual.

La tecnología informática plantea nuevas situaciones y nuevos problemas y gran parte de estas nuevas situaciones y problemas son de una naturaleza ética; obviamente existen intentos de resolver estos problemas aplicando las actuales reglas y soluciones éticas de carácter general.

Las TIC cambiarán el mundo que conocemos actualmente, y desde el punto de vista ético, lo más importante y evidente es la necesidad de una nueva ética. Esta nueva ética será la ética de la informática.

Desarrollo

1. Indica las disposiciones éticas que se deberían haber aplicado para que el problema que ahí se muestra no se hubiera presentado

CASO BANCO DE AHORROS UNION DIME.

Bancos parecen ser ideales para el abuso computacional. Roswell Steffen uso una computadora para apropiarse de $1.5 millones de fondos del Banco de Ahorros Union Dime en New York. En una entrevista con Steffen,

...