Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TEMA:
OBJETIVOS Y ALCANCE DE LA AUDITORIA
ALUMNOS:
CURSO:
AUDITORIA DE SISTEMAS
DOCENTE:
JUAN CARLOS MIRANDA FLORES
TRUJILLO, PERU
2020
AUDITORIA SEGURIDAD INFORMÁTICA
Permitan a las organizaciones la creación de políticas con el fin de asegurar los
activos de información desarrollando un conjunto de principios y reglas que
sinteticen como se gestionara la protección de la información y así asegurar la
continuidad del negocio. Dentro del desarrollo de esta auditoria encontramos
las siguientes normas:
1) ISO/IEC 27001:2013
Esta norma es una guía que puede ser implementada para mejorar los
procesos de seguridad de información en todo tipo de organización. Su
metodología establece, implementa, mantiene y mejora un sistema de
gestión de seguridad de la información (SGSI), siendo coherente y de
fácil manejo. Permite la certificación de la empresa por una entidad ya
sea pública o privada, confirmando su seguridad en gestión de la
información. Un aspecto de la norma ISO 27001 incluye el ciclo de
Deming el cual consiste en procesos basados en el método de mejora
continua, conocido como el ciclo PHVA: Planificar, Hacer, Verificar y
Actuar, el cual se basa en un procedimiento cíclico mediante el cual se
determinan las objetivos y procesos necesarios que se planean
implementar (Planificar), luego se procede a implementar los procesos
(Hacer), posteriormente, se revisan y se evalúan todos los procesos
comparándolos con las políticas y objetivos sobre los resultados
(Verificar), y por último, se emprenden las acciones para el mejoramiento
del sistema (Actuar).
2) ISO/IEC 27002:2013
Alcance de la Auditoria:
Definición
Historia
Alcance
Se desarrolla la metodología con el fin de generar un informe de auditoría, en el
cual se validen los controles existentes aplicados a la BD, los cuales surgen a
partir de la aplicación de los cuestionarios de familiarización, y verificar que
estos se estén aplicando de forma correcta, no obstante se tomarán en cuenta
aquellos controles que no se aplican y se realizarán las recomendaciones
pertinentes para la mejora del proceso y así garantizar la integridad y
confiabilidad de los datos almacenados en la BD.
Limitaciones
Falta de documentación de procesos que permitan validar que se sigue
un procedimiento estándar en la gestión, operación y manipulación de la
BD y sus aplicaciones.
El tiempo del grupo auditor y director de TI para responder los
cuestionarios.
El acceso a información confidencial de la empresa
AUDITORÍA DE LA SEGURIDAD LÓGICA
1. Concepto
2. Dimensiones
5. Objetivo General
Aplicar barreras y procedimientos que resguarden el acceso a los
datos y sólo se permita acceder a ellos a las personas autorizadas
para hacerlo.
6. Objetivos Específicos
Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una supervisión
minuciosa.
Asegurar que se estén utilizados los datos, archivos y programas
correctos en y por el procedimiento correcto.
Garantizar que la información transmitida sea recibida sólo por el
destinatario al cual ha sido enviada y no a otro.
Certificar que la información recibida sea la misma que ha sido
transmitida.
Asegurar que existan sistemas alternativos secundarios de
transmisión entre diferentes puntos.
Cerciorar que se disponga de pasos alternativos de emergencia para
la transmisión de información
7. Alcance
Las áreas que abarca son:
Rutas de acceso (pasar por uno o múltiples niveles de seguridad
antes de obtener el acceso a los programas y datos).
Claves de acceso (identificar a un usuario de otros).
Software de control de acceso (graba los eventos realizados y el
acceso a los recursos identificando al usuario que lo realiza). En
telecomunicaciones este tipo de software provee la interfaz entre las
terminales y las redes, permitiendo realizar las siguientes acciones:
o Controlar la invocación de los programas de aplicación.
o Verificar que todas las transacciones estén completas y sean
correctamente transmitidas.
o Restringir a los usuarios para actuar en funciones seleccionadas.
o Restringir el acceso al sistema a ciertos individuos.
Encriptamiento (transformación de los datos a una forma que no sea
posible leerla por cualquier persona).