Sei sulla pagina 1di 24

Universidad de Oriente

Facultad de Ingeniería y Arquitectura

Auditoria Informática
Docente: Ing. Herson Serrano
Introducción
 La auditoría de los sistemas de información
se define como cualquier auditoría que
abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de
los sistemas automáticos de procesamiento
de la información, incluidos los
procedimientos no automáticos relacionados
con ellos y las interfaces correspondientes.
Auditoría
 La palabra auditoría viene del latín
auditorius y de esta proviene auditor, que
tiene la virtud de oír y revisar cuentas, pero
debe estar encaminado a un objetivo
Tipos de Auditorias
Áreas Específicas Áreas Generales
 Explotación  Interna

 Desarrollo  Dirección

 Sistemas  Usuario

 Comunicaciones  Seguridad

 Seguridad
Metodología de auditoría
informática
 Alcance y objetivos
 Estudio inicial del entorno auditable
 Determinación de los recursos
 Elaborar plan y programa de trabajo
 Actividades de auditoría
 Informe final
 Carta de presentación del informe
Objetivo General de Auditoría
de sistemas
 Operatividad 100%
Herramientas para Auditoría
informática
 Cuestionarios
 Entrevistas
 Check list (de rango y binario)
 Trazas
 Software de interrogación
Consideraciones para el éxito
del análisis crítico
 Estudiar hechos y no opiniones (no se toman en
cuenta los rumores ni la información sin
fundamento)
 Investigar las causas, no los efectos.
 Atender razones, no excusas.
 No confiar en la memoria, preguntar
constantemente.
 Criticar objetivamente y a fondo todos los
informes y los datos recabados.
Investigación preliminar
 No tiene y se necesita.
 No se tiene y no se necesita.
 Se tiene la información pero:
 No se usa.
 Es incompleta.
 No está actualizada.
 No es la adecuada.
 Se usa, está actualizada, es la adecuada y está
completa
Informe

Después de realizar los pasos anteriores y de


acuerdo a los resultados obtenidos, el auditor
realizará un informe resultante con
observaciones y/o aclaraciones para llevar a
cabo dentro de las áreas involucradas para el
mejor funcionamiento del sistema.
Auditoria de Datos
 La auditoría de datos habilita a una
organización la identificación de quien crea,
modifica, elimina y accede los datos, cuando
y como son accedidos. O bien, la estructura
de los datos.
 La sola existencia de auditoría de datos tiene
un efecto disuasivo en los intrusos de los
datos.
Auditoria de datos: una forma
de vida
 Su presencia debe ser parte integral de las
operaciones de los servicios informáticos en
una organización en el día a día.
Auditoría de datos:
Mejores prácticas (1)
 Responsabilidad segregada
 El equipo responsable de auditar un sistema debe ser
distinto a aquel que lo administra y lo utiliza
 Mantener el Sistema de Auditoría de Datos
Independiente
 Nada ni nadie debe ser capaz de alterar un log de
auditoría
 Hacerla Escalable, Ampliable y Eficiente
 La plataforma de auditoría de datos debe acomodarse
al crecimiento y la adición de nuevas fuentes de datos
Auditoría de datos:
Mejores prácticas (2)
 Hacerla Flexible
 Los requerimientos de auditoría cambiarán;
asegúrese que se pueda responder rápida y
fácilmente a esos cambios desplegando un marco de
auditoría flexible
 Gestión Centralizada
 Una plataforma de auditoría de datos debe ser capaz
de auditar múltiples bases de datos en múltiples
servidores físicos
Auditoría de datos:
Mejores prácticas (3)
 Asegurar la Plataforma de auditoría de Datos
 La plataforma de auditoría por si misma no debe tener
“puertas traseras de acceso” a sus propios datos ni
permitir el acceso por dichas puertas traseras a los
datos de cualquiera de las bases de datos que
monitorea.
 Identificación de los Datos
 Se debe establecer y mantener un inventario de todos
los datos, incluyendo aquellos provenientes de
fuentes externas
Auditoría de datos:
Mejores prácticas (4)
 Análisis de los Datos
 Determine los roles, vulnerabilidades y
responsabilidades relativas a todos los datos.
 Hacerla Completa
 La política de auditoría de datos necesita abarcar
todos los datos dentro de una organización,
incluyendo todos los datos de aplicación, los datos de
comunicaciones incluyendo los registros de correos
electrónicos y mensajes instantáneos, registros de
transacciones y toda la información que pasa hacia o
alrededor de una organización tanto desde dentro
como desde afuera
Auditoría de datos:
Mejores prácticas (5)
 Habilitación de Reportes y Análisis
 Establecimiento de Patrones de Uso Normal
 Establecimiento de una Política de
Documentación y Revisión
 La auditoría de datos implementada directamente
para satisfacer mandatos de reguladores debe
referirse directamente a los elementos de las
regulaciones que satisface: (Sarbanes-Oxley, HIPAA,
GLBA, etc.).
Auditoría de datos:
Mejores prácticas (6)
 Monitorear, Alertar, Reportar
 Dependiendo del riesgo, se deben atar los eventos o
datos anormales a los sistemas de alerta y, en
algunos casos disparar alarmas en tiempo real.
 Incrementar y Complementar la Seguridad
 La auditoría de datos incrementa y complementa los
niveles de la seguridad de los sistemas de IT
 Respaldo y Archivo
 Los LOG de Auditoría, por si mismas, deben ser
respaldadas y lo ideal, almacenadas en una sitio
remoto
Auditoría de datos:
Mejores prácticas (7)
 Crear Procedimientos para la Operación y para la
Recuperación ante Desastres
 Es necesario crear políticas y procedimientos que
gobiernen cómo se accede a las pistas de auditoría y
cómo se recuperan los datos perdidos
 Todas las operaciones de recuperación también
deben ser auditadas.
Conclusión
 El acceso no autorizado o cambios desconocidos
a los datos de una organización pueden debilitar
o arruinar una empresa.
 El robo, error, pérdida, corrupción o fraude de los
datos puede costarle a una compañía su
reputación, sus ganancias, o ambos.
 La auditoría de datos no solamente protege los
datos de una organización, sino que asegura la
responsabilidad, la recuperación y la longevidad
de los sistemas que dependen de los datos.
Estándares de Seguridad de la
información

 ISO/IEC 27000-series
 COBIT
 ITIL
ISO/IEC 27000-series
 La serie de normas ISO/IEC 27000 son estándares
de seguridad publicados por la Organización
Internacional para la Estandarización (ISO) y la
Comisión Electrotécnica Internacional (IEC).
 La serie contiene las mejores prácticas
recomendadas en Seguridad de la información para
desarrollar, implementar y mantener
especificaciones para los Sistemas de Gestión de la
Seguridad de la Información (SGSI).
COBIT
 Objetivos de Control para la información y
Tecnologías relacionadas (COBIT, en inglés:
Control Objectives for Information and related
Technology)
 Es un conjunto de mejores prácticas para el manejo
de información creado por la Asociación para la
Auditoria y Control de Sistemas de Información,
(ISACA, en inglés: Information Systems Audit and
Control Association), y el Instituto de Administración
de las Tecnologías de la Información (ITGI, en
inglés: IT Governance Institute) en 1992.
ITIL
 La Information Technology Infrastructure Library
("Biblioteca de Infraestructura de Tecnologías de
Información"), frecuentemente abreviada ITIL.
 Es un marco de trabajo de las mejores prácticas
destinadas a facilitar la entrega de servicios de
tecnologías de la información (TI) de alta calidad.
ITIL resume un extenso conjunto de procedimientos
de gestión ideados para ayudar a las
organizaciones a lograr calidad y eficiencia en las
operaciones de TI

Potrebbero piacerti anche