Conceptos Fundamentales de Auditoria y Seguridad en Informtica

Kimer Ushiahua Pinchi

Escuela profesional de Ingeniera de Sistemas e Informtica, UNSM, TARAPOTO, PERU
Kimer2007ushinahua@gmail.com Resumen.- Con el presente artculo se pretende entregar un vocabulario que describa el significado de cada trmino relacionado con la auditora, se encontraron una serie de recursos sobre el significado de los conceptos a investigar, y se utiliz las palabras que se adecuen a los sistemas de informacin y la auditoria informtica. Estas definiciones nos permitirn comprender el sentido y la direccin de la auditoria. Estas nociones nos permitirn entender ms rpido las clases y los proyectos que nos encargara el docente del curso. C. I. INTRODUCCIN Para tener un conocimiento de la auditoria y seguridad en informtica, hay que introducir una serie de conceptos previos que permitirn conocer y aplicar para un apropiado trabajo dentro de la organizacin; que pueden ser sus sistemas, formacin y el equipo trabajo. A continuacin, la descripcin de los principales conceptos de la auditoria y seguridad en informtica, con el presente trabajo se formara una idea ms slida para el aprendizaje continuo dentro del tema mencionado anteriormente. II. DESARROLLO DE CONTENIDOS Conozcamos y aprendamos diversos conceptos de trminos utilizados frecuentemente en la Auditoria y Seguridad en Informtica. D. A. Amenaza Posible causa de una ocurrencia no deseada, que puede resultar en daos a un sistema u organizacin. [1] Una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro o catstrofe. [2] Entonces podemos decir que una amenaza es la posibilidad de que suceda cualquier incidente que causa un impacto negativo o prdidas de informacin de la organizacin. Adems de ser difciles de pronosticar y controlarlos totalmente. B. Vulnerabilidad E. La situacin creada por la falta de uno o varios controles, con la que amenaza pudiera acaecer y s afectar al entorno informtico. [2] Seguridad La capacidad de las redes o de los sistemas de informacin para resistir, con un de-terminado nivel de confianza, los accidentes o acciones ilcitas o La evaluacin del efecto del riesgo [2]. Consecuencias de la ocurrencia de las distintas amenazas. [4] Se denomina impacto a la medida del dao sobre el activo derivado de la materializacin de una amenaza. [3]. Concretizando el trmino impacto: son las consecuencias cuando llega a realizarse una amenaza. Que pueden ser fallas operativas en los sistemas, mal manejo de los sistemas por parte de los usuarios, etc. La probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad. [2] Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la Organizacin. [3] La incertidumbre que ocurra un evento que podra tener un impacto en el logro de los objetivos. [4] Resumiendo el riego consiste en la probabilidad que las amenazas afecten negativamente a la organizacin. El riesgo indica lo que podra pasar a los elementos ms importantes si no se protegieran adecuadamente. Impacto La debilidad de un activo o control que puede ser explotada por una amenaza. [1] Relacionando estas definiciones puntualizo que una vulnerabilidad; Es una va de ataque potencial que una amenaza pueda utilizar para causar daos en una organizacin. Las vulnerabilidades son la parte que se puede controlar o reducir para poder minimizar los daos que puedan causar. Riesgo

malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. [3]. Podemos entender como seguridad un estado de cualquier sistema (informtico o no) que nos indica que ese sistema est libre de peligro, dao o riesgo. [4]. Consiste en asegurar que los recursos de la organizacin sean manipulados de la manera que se decidi, y que el acceso a la informacin que contienen as como su modificacin slo sea posible a las personas que se encuentren autorizadas. A tener siempre en cuenta que no existe la seguridad absoluta dentro de los sistemas de informacin. F. Resiliencia Es la capacidad de una solucin de continuar funcionando (dentro de parmetros aceptables) ante distintos tipos de problemas. [5] Decimos entonces que, Resiliencia; es la capacidad de un sistema informtico cuando se encuentre en funcionamiento y se presenten problemas pueda regresar a su estado normal. G. Entropa Es el desgaste que el sistema presenta por el transcurso del tiempo o por el funcionamiento del mismo. [6] H. Homeostasis Es la propiedad de un sistema que define su nivel de respuesta y de adaptacin al contexto. [6]

J.

Pruebas Beta Es la primera versin completa del programa informtico o de otro producto, que es posible que sea inestable pero til para que las demostraciones internas y las inspecciones previas seleccionen a clientes. Adems donde se harn pequeas ediciones o se corregirn errores. [8]

K.

Pruebas de Caja Blanca Un tipo de pruebas de software que se realiza sobre las funciones internas de un mdulo, tambin llamadas pruebas estructurales, y pruebas de caja transparente, su objetivo es probar exhaustivamente la estructura del cdigo y se refiere a la lgica interna del mismo. [10] En resumen: es hacer pruebas de forma que las operaciones internas y sus dems componentes se han comprobado de forma que funcione correctamente. Es decir introducirse en la lgica del programa y el cdigo para averiguar lnea o fragmento de cdigo no funciona adecuadamente.

L.

Pruebas de Caja Negra Se llevan a cabo sobre la interfaz del software, obviando el comportamiento interno y la estructura del programa. [9] Entonces este tipo de prueba demuestran que las funciones un sistema son operativas, que la entrada se acepta de forma adecuada y que se produce una salida correcta.

M. Pruebas de Caja Gris Capacidad para mantener las condiciones de supervivencia en un mbito cambiante. [7] Recalcando es la forma como est elaborado un sistema para responder los constantes cambios y su adaptabilidad a estos. N. I. Pruebas Alfa Es la primera versin del programa, la cual es enviada a los verificadores para probarla. Tambin es la fase donde un producto todava es inestable, aguarda todava a que se eliminen los errores o a la puesta en prctica completa de toda su funcionalidad, pero satisface la mayora de los requisitos. [8] Las pruebas alfa se llevan a cabo en un entorno controlado. Para que tengan validez, se debe primero crear un ambiente con las mismas condiciones que se encontrarn en las instalaciones del cliente. [9] Es una mezcla de pruebas entre la caja negra y blanca, es una especie de tester pero que sabe cmo funciona el programa, es decir, vio el cdigo fuente pero trabaja sin poder modificarlo. [11] Pruebas de Estrs El objetivo de estas pruebas es obtener datos, sobre la carga del sistema, que ayuden a realizar el dimensionamiento del sistema. [12] Esta prueba se utiliza normalmente para romper la aplicacin. Se va doblando el nmero de usuarios que se agregan a la aplicacin y se ejecuta una prueba de carga hasta que se rompe. Este tipo de prueba se realiza para determinar la solidez de la aplicacin en los momentos de carga extrema y ayuda a los administradores para determinar si la aplicacin rendir lo suficiente en caso de que la carga real supere a la carga esperada. [12]

O.

Pruebas de Concurrencia Son pruebas para determinar cmo trata un componente o sistema la ocurrencia de dos o ms actividades dentro del mismo intervalo de tiempo, llevadas a cabo por intercalado de las actividades o por ejecucin simultnea. [13]

IV.

REFERENCIAS BIBLIOGRFICAS

[1]

STANDAR ISO 27000, STANDAR ISO 27000:2009 - overwiew and vocabulary, Standar ISO 27000 - overwiew and vocabulary, 2009. M. G. Piattini y E. Del Peso Navarro, AUDITORA INFORMTICA - Un Enfoque Prctico, MEXICO: ALFAOMEGA GRUPO EDITOR, 2001. Direccin General de Modernizacin Administrativa, Procedimientos e Impulso de la Administracin Electrnica, MAGERIT - versin 3.0. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin., Madrid: Ministerio de Hacienda y Administraciones Pblicas, 2012. buenastareas.com, www.buenastareas.com, buenastareas.com, 07 Noviembre 2011. [En lnea]. Available: http://www.buenastareas.com/ensayos/Auditoria-EnInformatica/31501519.html. [ltimo acceso: 31 Agosto 2013]. cxo-community.com, www.cxo-community.com, CXO Community, 24 mayo 2011. [En lnea]. Available: http://cxocommunity.com/component/content/3982?task=view. [ltimo acceso: 29 Agosto 2013]. monografias.com, www.monografias.com, monografias.com, 13 Enero 2012. [En lnea]. Available: http://www.monografias.com/trabajos5/teorsist/teorsist.shtml#home#i xzz2dTKSxPN7. [ltimo acceso: 29 Agosto 2013]. P. Senge, LA QUINTA DISCIPLINA - El arte y la practica de la organizacion de la organizacion abierta al aprendizaje, Mexico: Ediciones Granica, 1998. wikepedia.org, www.wikepedia.org, FUNDACION WIKIMEDIA,INC., 27 Agosto 2013. [En lnea]. Available: http://es.wikipedia.org/wiki/Fases_del_desarrollo_de_software#Alfa. [ltimo acceso: 31 Agosto 2013]. buenastareas.com, www.buenastareas.com, buenastareas.com, 12 mayo 2011. [En lnea]. Available: http://www.buenastareas.com/ensayos/Pruebas-De-CajaNegra/2060455.html. [ltimo acceso: 30 Agosto 2013].

P.

Pruebas Unitarias Su objetivo principal de esta prueba es detectar errores en cada uno de los mdulos del software al ser ejecutado independientemente del resto de componentes. [14] Simplifica la integracin de componentes, y, la separacin entre la interfaz de usuario y los detalles de implementacin. [15] Las pruebas unitarias se hacen por separado para cada mdulo del sistema sin afectar la interfaz del usuario, encontrando as los errores en la lgica y la programacin de la misma.

[2]

[3]

[4]

[5]

Q.

Deontologa Profesional Hace referencia al conjunto de principios y reglas ticas que regulan y guan una actividad profesional. Estas normas determinan los deberes mnimamente exigibles a los profesionales en el desempeo de su actividad. [16]. Conjunto de preceptos que establecen los deberes exigibles a aquellos profesionales que ejerciten una actividad, tienen como finalidad teleolgico la de incidir en sus comportamientos profesionales estimulando que estos se ajusten a determinados principios morales que deben servirles de gua. [2] Relacionando tenemos que son las normas morales y ticas por la cual se rigen los profesionales, esto ayudara a mostrarnos con un comportamiento adecuado que a su vez nos traer prestigio y la calidad durante el ejercicio profesional.

[6]

[7]

[8]

[9]

III.

CONCLUSIONES La realizacin de la presente investigacin ha permitido investigar y conocer sobre los trminos utilizados frecuentemente en la auditoria y seguridad en la informacin. Los trminos encontrados servirn como base para los prximos temas a tratar dentro del curso.

[10] buenastareas.com, www.buenastareas.com, buenastareas.com, 15 Marzo 2011. [En lnea]. Available: http://www.buenastareas.com/ensayos/Pruebas/1717104.html. [ltimo acceso: 30 Agosto 2013]. [11] wordpress.com, www.isseu.wordpress.com, WORDPRESS, 26 Septiembre 2009. [En lnea]. Available: http://isseu.wordpress.com/2009/02/26/pruebas-a-software-cajablanca-negra-gris/. [ltimo acceso: 31 Agosto 2013].

[12] wikipedia.org, www.wikipedia.org, FUNDACION WIKIMEDIA, INC., 25 Agosto 2013. [En lnea]. Available: http://es.wikipedia.org/wiki/Pruebas_de_rendimiento_del_software#P rueba_de_estr.C3.A9s. [ltimo acceso: 01 Septiembre 2013]. [13] globetesting.com, www.globetesting.com, GLOBE TESTING, 18 Mayo 2011. [En lnea]. Available: http://www.globetesting.com/glosario/pruebas-de-concurrencia/. [ltimo acceso: 01 SEptiembre 2013]. [14] j. Tuya, I. Ramos Romn y J. Dolado Cosn, TCNICAS CUANTITATIVAS PARA LA GESTIN EN LA INGENIERA DE SOFTWARE, Espaa: NETBIBLO, 2007. [15] A. F. Montoro, PYTHON AL DESCUBIERTO, Espaa: RC Libros, 2012. [16] wikepedia.org, www.wikepedia.org, FUNDACION WIKIMEDIA, INC., 29 Agosto 2013. [En lnea]. Available: http://es.wikipedia.org/w/index.php?title=Deontologa_profesional&o ldid=69305753. [ltimo acceso: 01 Septiembre 2013]. [17] globetesting.com, www.globetesting.com, GLOBE TESTING, 06 Marzo 2012. [En lnea]. Available: http://www.globetesting.com/pruebas-de-rendimiento/. [ltimo acceso: 31 Agosto 2013].