Transcript Presentación Auditoria Informática

Auditoria Informática
Profesor: Hector Schulz Pérez
Asignatura: Base de Datos
Integrantes:
Valericio Carrasco Yáñez
Humberto Álvarez Vilches
Cristián Pino Torres
Introducción

La auditoría de los sistemas de información
se define como cualquier auditoría que
abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de
los sistemas automáticos de procesamiento
de
la
información,
incluidos
los
procedimientos no automáticos relacionados
con ellos y las interfaces correspondientes.
Auditoría

La palabra auditoría viene del latín
auditorius y de esta proviene auditor, que
tiene la virtud de oír y revisar cuentas, pero
debe estar encaminado a un objetivo
Tipos de Auditorias
Áreas Específicas
 Explotación
 Desarrollo
 Sistemas
 Comunicaciones
 Seguridad
Áreas Generales
 Interna
 Dirección
 Usuario
 Seguridad
Metodología de auditoría
informática







Alcance y objetivos
Estudio inicial del entorno auditable
Determinación de los recursos
Elaborar plan y programa de trabajo
Actividades de auditoría
Informe final
Carta de presentación del informe
Objetivo General de Auditoría
de sistemas

Operatividad 100%
Herramientas para Auditoría
informática





Cuestionarios
Entrevistas
Check list (de rango y binario)
Trazas
Software de interrogación
Consideraciones para el éxito
del análisis crítico





Estudiar hechos y no opiniones (no se toman en
cuenta los rumores ni la información sin
fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar
constantemente.
Criticar objetivamente y a fondo todos los
informes y los datos recabados.
Investigación preliminar








No tiene y se necesita.
No se tiene y no se necesita.
Se tiene la información pero:
No se usa.
Es incompleta.
No está actualizada.
No es la adecuada.
Se usa, está actualizada, es la adecuada y está
completa
Informe
Después de realizar los pasos anteriores y de
acuerdo a los resultados obtenidos, el auditor
realizará un informe resultante con
observaciones y/o aclaraciones para llevar a
cabo dentro de las áreas involucradas para el
mejor funcionamiento del sistema.
Auditoria de Datos


La auditoría de datos habilita a una
organización la identificación de quien crea,
modifica, elimina y accede los datos, cuando
y como son accedidos. O bien, la estructura
de los datos.
La sola existencia de auditoría de datos tiene
un efecto disuasivo en los intrusos de los
datos.
Auditoria de datos: una forma
de vida

Su presencia debe ser parte integral de las
operaciones de los servicios informáticos en
una organización en el día a día.
Auditoría de datos:
Mejores prácticas (1)

Responsabilidad segregada


Mantener el Sistema de Auditoría de Datos
Independiente


El equipo responsable de auditar un sistema debe ser
distinto a aquel que lo administra y lo utiliza
Nada ni nadie debe ser capaz de alterar un log de
auditoría
Hacerla Escalable, Ampliable y Eficiente

La plataforma de auditoría de datos debe acomodarse
al crecimiento y la adición de nuevas fuentes de datos
Auditoría de datos:
Mejores prácticas (2)

Hacerla Flexible


Los requerimientos de auditoría cambiarán;
asegúrese que se pueda responder rápida y
fácilmente a esos cambios desplegando un marco de
auditoría flexible
Gestión Centralizada

Una plataforma de auditoría de datos debe ser capaz
de auditar múltiples bases de datos en múltiples
servidores físicos
Auditoría de datos:
Mejores prácticas (3)

Asegurar la Plataforma de auditoría de Datos


La plataforma de auditoría por si misma no debe tener
“puertas traseras de acceso” a sus propios datos ni
permitir el acceso por dichas puertas traseras a los
datos de cualquiera de las bases de datos que
monitorea.
Identificación de los Datos

Se debe establecer y mantener un inventario de todos
los datos, incluyendo aquellos provenientes de
fuentes externas
Auditoría de datos:
Mejores prácticas (4)

Análisis de los Datos


Determine los roles, vulnerabilidades y
responsabilidades relativas a todos los datos.
Hacerla Completa

La política de auditoría de datos necesita abarcar
todos los datos dentro de una organización,
incluyendo todos los datos de aplicación, los datos de
comunicaciones incluyendo los registros de correos
electrónicos y mensajes instantáneos, registros de
transacciones y toda la información que pasa hacia o
alrededor de una organización tanto desde dentro
como desde afuera
Auditoría de datos:
Mejores prácticas (5)



Habilitación de Reportes y Análisis
Establecimiento de Patrones de Uso Normal
Establecimiento de una Política de
Documentación y Revisión

La auditoría de datos implementada directamente
para satisfacer mandatos de reguladores debe
referirse directamente a los elementos de las
regulaciones que satisface: (Sarbanes-Oxley, HIPAA,
GLBA, etc.).
Auditoría de datos:
Mejores prácticas (6)

Monitorear, Alertar, Reportar


Incrementar y Complementar la Seguridad


Dependiendo del riesgo, se deben atar los eventos o
datos anormales a los sistemas de alerta y, en
algunos casos disparar alarmas en tiempo real.
La auditoría de datos incrementa y complementa los
niveles de la seguridad de los sistemas de IT
Respaldo y Archivo

Los LOG de Auditoría, por si mismas, deben ser
respaldadas y lo ideal, almacenadas en una sitio
remoto
Auditoría de datos:
Mejores prácticas (7)

Crear Procedimientos para la Operación y para la
Recuperación ante Desastres


Es necesario crear políticas y procedimientos que
gobiernen cómo se accede a las pistas de auditoría y
cómo se recuperan los datos perdidos
Todas las operaciones de recuperación también
deben ser auditadas.
Conclusión



El acceso no autorizado o cambios desconocidos
a los datos de una organización pueden debilitar
o arruinar una empresa.
El robo, error, pérdida, corrupción o fraude de los
datos puede costarle a una compañía su
reputación, sus ganancias, o ambos.
La auditoría de datos no solamente protege los
datos de una organización, sino que asegura la
responsabilidad, la recuperación y la longevidad
de los sistemas que dependen de los datos.
Estándares de Seguridad de la
información



ISO/IEC 27000-series
COBIT
ITIL
ISO/IEC 27000-series


La serie de normas ISO/IEC 27000 son estándares
de seguridad publicados por la Organización
Internacional para la Estandarización (ISO) y la
Comisión Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas
recomendadas en Seguridad de la información para
desarrollar,
implementar
y
mantener
especificaciones para los Sistemas de Gestión de la
Seguridad de la Información (SGSI).
COBIT


Objetivos de Control para la información y
Tecnologías relacionadas (COBIT, en inglés:
Control Objectives for Information and related
Technology)
Es un conjunto de mejores prácticas para el manejo
de información creado por la Asociación para la
Auditoria y Control de Sistemas de Información,
(ISACA, en inglés: Information Systems Audit and
Control Association), y el Instituto de Administración
de las Tecnologías de la Información (ITGI, en
inglés: IT Governance Institute) en 1992.
ITIL


La Information Technology Infrastructure Library
("Biblioteca de Infraestructura de Tecnologías de
Información"), frecuentemente abreviada ITIL.
Es un marco de trabajo de las mejores prácticas
destinadas a facilitar la entrega de servicios de
tecnologías de la información (TI) de alta calidad.
ITIL resume un extenso conjunto de procedimientos
de gestión ideados para ayudar a las
organizaciones a lograr calidad y eficiencia en las
operaciones de TI