2. Concepto
• el sistema integrado al proceso administrativo,
en la planeación, organización, dirección y
control de las operaciones con el objeto de
asegurar la protección de todos los recursos
informáticos y mejorar los índices de
economía, eficiencia y efectividad de los
procesos operativos automatizados.
3. OBJETIVOS PRINCIPALES
• Controlar que todas las actividades se realizan
cumpliendo los procedimientos y normas fijados,
evaluar su bondad y asegurarse del cumplimiento
de las normas legales.
• Colaborar y apoyar el trabajo de Auditoría
Informática interna/externa.
• Definir, implantar y ejecutar mecanismos y
controles para comprobar el grado ce cumplimiento
de los servicios informáticos.
• Realizar en los diferentes sistemas y entornos
informáticos el control de las diferentes actividades
que se realizan.
4. El control interno
1.Controles manuales: son ejecutados por el
personal del área usuaria o de informática sin la
utilización de herramientas computacionales.
2.Controles Automáticos: son generalmente los
incorporados en el software, llámense estos de
operación, de comunicación, de gestión de base
de datos, programas de aplicación, etc.
5. Los controles según su finalidad
1.Controles Preventivos: para tratar de evitar la
producción de errores o hechos fraudulentos, como
por ejemplo el software de seguridad que evita el
acceso a personal no autorizado.
2.Controles Detectivos: tratan de descubrir a
posterior errores o fraudes que no haya sido
posible evitarlos con controles preventivos.
3.Controles Correctivos: tratan de asegurar que se
subsanen todos los errores identificados mediante
los controles detectivos.
6. CONTROL INTERNO INFORMÁTICO
(FUNCIÓN)
• Controlar que todas las actividades
relacionadas a los sistemas de información
automatizados se realicen cumpliendo las
normas, estándares, procedimientos y
disposiciones legales establecidas interna y
externamente.
7. CONTROL INTERNO INFORMÁTICO
(SISTEMA)
• Asegurar la integridad, disponibilidad y
eficacia de los sistemas informáticos a través
de mecanismos o actividades de control.
8. Configuración del sistema
• Configuración de aplicaciones: proceso de
transacciones, sistema de gestión de base de
datos y entorno de procesos distribuidos
• Productos y herramientas: software de
programación diseño y documentación,
software de gestión de biblioteca.
9. CONTROL INTERNO INFORMÁTICO
(ÁREAS DE APLICACIÓN)
• Controles generales organizativos
• Controles de desarrollo y mantenimiento de
sistemas de informacion
• Controles de explotación de sistemas de
información
• Controles en aplicaciones
• Controles en sistemas de gestión de base de datos
• Controles informáticos sobre redes
• Controles sobre computadores y redes de área
local
10. Centro de Cómputo
• Representa una entidad dentro de la
organización, la cual tiene como objetivo
satisfacer las necesidades de información de la
empresa, de manera veraz y oportuna. Su
función primordial es apoyar la labor
administrativa para hacerla más segura, fluida,
y así simplificarla.
11. La Administración de Redes
• Es un conjunto de técnicas tendientes a
mantener una red operativa, eficiente, segura,
constantemente monitoreada y con una
planeación adecuada y propiamente
documentada.
12. La Administración de Redes
• Sus objetivos son:
•Mejorar la continuidad en la operación de la
red
•Hacer uso eficiente de la red
•Reducir costos
•Hacer la red más segura
•Controlar cambios y actualizaciones en la red
13. Desarrollo de sistemas
Es un proceso que consiste en dos etapas principales
de análisis y diseño
El ciclo de vida del desarrollo de sistemas consiste en
las siguientes actividades:
• 1. Investigación preliminar
• 2. Determinación de requerimientos
• 3. Desarrollo de sistema (prototipo)
• 4. Diseño de sistema
• 5. Desarrollo de software
• 6. Prueba de los sistemas y puesta en marcha
14. Criterios de evaluación sistema de
información en uso
1.Navegación.
2. Funcionalidad.
3. Control del usuario.
4. Lenguaje y contenido.
5. Ayuda en línea.
6. Información del sistema.
7. Accesibilidad.
8. Coherencia.
15. Evaluación de la seguridad
1. Hardware
2. Aplicaciones del software
3. Plan de contingencias y de recuperación
Objetivos
• Verificar que existan los planes, políticas y
procedimientos relativos a la seguridad dentro de la
organización.
• Confirmar que exista un análisis costo / beneficio
de los controles y procedimientos de seguridad
antes de ser implantados.
16. Metodología para la evaluación de las
bases de datos
1.Consistencia.
2.Cobertura / alcance.
3.Tasa error / exactitud.
4.Rendimiento.
5.Respaldo y entrenamiento al cliente.
6.Accesibilidad / facilidad de uso.
7.Actualidad.
8.Integración.
9.documentación.
10.Tasa valor/costo.
17. Valoración de bases de datos
1. Descripción general
2. Especificaciones técnicas
3. Documentación y respaldo
4. Base de datos
5. Interfaz de usuario
6. Búsqueda
7. Resultados
8. Fiabilidad
18. Estructura de las redes
• Las redes tienen tres niveles de componentes:
software de aplicaciones, software de red y
hardware de red.
19. Tipos de Redes
• Redes Compartidas
• Redes exclusivas
• Redes privadas
• Redes públicas
• Redes LAN, MAN, WAN y redes de internet y
las redes inalámbricas
20. Topologías de Red
• Su objetivo es buscar la forma más económica
y eficaz de conexión para, al mismo tiempo,
aumentar la fiabilidad del sistema, evitar los
tiempos de espera en la transmisión, permitir
un mejor control de la red y lograr de forma
eficiente el aumento del número de las
estaciones de trabajo.
21. Tipos
• Bus
• Anillo
• Estrella
• Árbol
• Malla
• Anillo en estrella
• Bus en estrella
• Estrella jerárquica
22. Protocolo de Redes
• Los protocolo de red son una o más normas
standard que especifican el método para
enviar y recibir datos entre varios
ordenadores.
23. Tipos
Protocolos de transporte:
•ATP (Apple Talk Transaction Protocol)
•TCP (Transmission Control Protocol)
Protocolos de red:
•DDP (Delivery Datagram Protocol)
•IP (Internet Protocol)
Protocolos de aplicación:
•FTP (File Transfer Protocol)
•Http (Hyper Text transfer Protocol)
24. Servicios de una Red
1.Acceso
2.Ficheros
3.Impresión
4.Correo
5.Información
25. Pasos para realizar la investigación
preliminar
• 1. Obtener la autorización de la gerencia.
• 2. Identificar la información necesaria
• 3. Realizar las acciones que sean necesarias para
conseguir la información:
• a. Realizar encuestas, método usado cuando se
necesita información de muchas personas.
• 4.Analizar la información obtenida, identificando
alternativas con sus costos y beneficios
• 5.Presentar los resultados y recomendaciones a
la gerencia.
26. El análisis de la información
• la aplicación de técnicas de procesamiento
automático del lenguaje natural, de
clasificación automática y de representación
gráfica (cartografía) del contenido cognitivo
(conocimientos) y factual (fecha, lengua, tipo
de publicación) de los datos bibliográficos (o
textuales).
27. Recolección de datos
• Cuestionarios
• Entrevistas
• Observación
• Información documental (archivo).
28. Planeación de la auditoría en
informática
• INVESTIGACIÓN PRELIMINAR
• ADMINISTRACIÓN
• SISTEMAS
• PERSONAL PARTICIPANTE
• PASOS A SEGUIR
• INFORMES
29. Evaluación de Riesgos
• El análisis de riesgos supone más que el hecho de
calcular la posibilidad de que ocurran cosas negativas.
• Se debe poder obtener una evaluación económica del
impacto de estos sucesos. Este valor se podrá utilizar
para contrastar el costo de la protección de la
información en análisis, versus el costo de volverla a
producir (reproducir).
• Se debe tener en cuenta la probabilidad que sucedan
cada uno de los problemas posibles. De esta forma se
pueden priorizar los problemas y su coste potencial
desarrollando un plan de acción adecuado.
30. • La evaluación de riesgos y presentación de
respuestas debe prepararse de forma
personalizada para cada organización; pero se
puede presuponer algunas preguntas que
ayudan en la identificación de lo
anteriormente expuesto :
• "¿Qué puede ir mal?"
• "¿Con qué frecuencia puede ocurrir?"
31. Niveles de riesgo
• Como puede apreciarse en la Tabla 1, los riesgos
se clasifican por su nivel de importancia y por la
severidad de su pérdida:
• Estimación del riesgo de pérdida del recurso (R i )
• Estimación de la importancia del recurso (I i )
• Para la cuantificación del riesgo de perder un
recurso, es posible asignar un valor numérico de
0 a 10, tanto a la importancia del recurso (10 es el
recurso de mayor importancia) como al riesgo de
perderlo (10 es el riesgo más alto).
32. • El riesgo de un recurso será el producto de su
importancia por el riesgo de perderlo :
• Luego, con la siguiente fórmula es posible
calcular el riesgo general de los recursos de la
red:
33. Identificación de Amenaza.
• Una vez conocidos los riesgos, los recursos que se
deben proteger y como su daño o falta pueden influir
en la organización es necesario identificar cada una de
las amenazas y vulnerabilidades que pueden causar
estas bajas en los recursos. Como ya se mencionó
existe una relación directa entre amenaza y
vulnerabilidad a tal punto que si una no existe la otra
tampoco.
Se suele dividir las amenazas existentes según su ámbito
de acción:
• Desastre del entorno (Seguridad Física).
• Amenazas del sistema (Seguridad Lógica).
34. Evaluación de Costos
• Desde un punto de vista oficial, el desafío de
responder la pregunta del valor de la información
ha sido siempre difícil, y más difícil aún hacer
estos costos justificables, siguiendo el principio
que "si desea justificarlo, debe darle un valor" (1).
• Establecer el valor de los datos es algo
totalmente relativo, pues la información
constituye un recurso que, en muchos casos, no
se valora adecuadamente debido a su
intangibilidad, cosa que no ocurre con los
equipos, la documentación o las aplicaciones.
35. • Un planteamiento posible para desarrollar
esta política es el análisis de lo siguiente:
• ¿Qué recursos se quieren proteger?
• ¿De qué personas necesita proteger los
recursos?
• ¿Qué tan reales son las amenazas?
36. • El objetivo que se persigue es lograr que un
ataque a los bienes sea más costoso que su
valor, invirtiendo menos de lo que vale. Para
esto se define tres costos fundamentales:
• CP: Valor de los bienes y recursos protegidos.
• CR:Costo de los medios necesarios para
romper las medidas de seguridad
establecidas.
• CS: Costo de las medidas de seguridad.
37. • Para que la política de seguridad sea lógica y
consistente se debe cumplir que:
• CR > CP: o sea que un ataque para obtener los
bienes debe ser más costoso que el valor de los
mismos. Los beneficios obtenidos de romper las
medidas de seguridad no deben compensar el
costo de desarrollo del ataque.
• CP > CS: o sea que el costo de los bienes
protegidos debe ser mayor que el costo de la
protección.
38. • Luego, CR > CP > CS y lo que se busca es:
• "Minimizar el costo de la protección manteniéndolo
por debajo del de los bienes protegidos" (2). Si
proteger los bienes es más caro de lo que valen (el
lápiz dentro de la caja fuerte), entonces resulta más
conveniente obtenerlos de nuevo en vez de protegerlo.
• "Maximizar el costo de los ataques manteniéndolo por
encima del de los bienes protegidos" (3). Si atacar el
bien es más caro de lo que valen, al atacante le
conviene más obtenerlo de otra forma menos costosa.
39. • Valor Intrínseco
• Es el más fácil de calcular (pero no fácil) ya
que solo consiste en otorgar un valor a la
información contestando preguntas como las
mencionadas y examinando minuciosamente
todos los componentes a proteger.
40. • Costos Derivados de la Pérdida
• Una vez más deben abarcarse todas las posibilidades, intentando
descubrir todos los valores derivados de la pérdida de algún
componente del sistema. Muchas veces se trata del valor añadido
que gana un atacante y la repercusión de esa ganancia para el
entorno, además del costo del elemento perdido. Deben
considerarse elementos como:
• Información aparentemente inocua como datos personales, que
pueden permitir a alguien suplantar identidades.
• Datos confidenciales de acuerdos y contratos que un atacante
podría usar para su beneficio.
• Tiempos necesarios para obtener ciertos bienes. Un atacante
podría acceder a ellos para ahorrarse el costo (y tiempo) necesario
para su desarrollo.
41. • Punto de Equilibrio
• Una vez evaluados los riesgos y los costos en
los que se está dispuesto a incurrir y decidido
el nivel de seguridad a adoptar, podrá
obtenerse un punto de equilibrio entre estas
magnitudes:
42. Plan de Contingencias
• Un Plan de contingencias es un instrumento de gestión
para el buen gobierno de las Tecnologías de la Información
y las Comunicaciones en el dominio del soporte y el
desempeño (delivery and support, véase ITIL).
• Dicho plan contiene las medidas técnicas, humanas y
organizativas necesarias para garantizar la continuidad del
negocio y las operaciones de una compañía. Un plan de
contingencias es un caso particular de plan de continuidad
del negocio aplicado al departamento de informática o
tecnologías. Otros departamentos pueden tener planes de
continuidad que persiguen el mismo objetivo desde otro
punto de vista. No obstante, dada la importancia de las
tecnologías en las organizaciones modernas, el plan de
contingencias es el más relevante.
43. Ciclo de vida
• El plan de contingencias sigue el conocido ciclo de vida iterativo
PDCA (plan-do-check-act, es decir, planificar-hacer-comprobar-
actuar). Nace de un análisis de riesgo donde, entre otras amenazas,
se identifican aquellas que afectan a la continuidad del negocio.
• En cualquier caso, el plan de contingencias siempre es cuestionado
cuando se materializa una amenaza, actuando de la siguiente
manera:
• Si la amenaza estaba prevista y las contramedidas fueron eficaces:
se corrigen solamente aspectos menores del plan para mejorar la
eficiencia.
• Si la amenaza estaba prevista pero las contramedidas fueron
ineficaces: debe analizarse la causa del fallo y proponer nuevas
contramedidas.
44. • El plan de contingencias comprende tres subplanes. Cada plan
determina las contramedidas necesarias en cada momento del
tiempo respecto a la materialización de cualquier amenaza:
• El plan de respaldo. Contempla las contramedidas preventivas
antes de que se materialice una amenaza. Su finalidad es evitar
dicha materialización.
• El plan de emergencia. Contempla las contramedidas necesarias
durante la materialización de una amenaza, o inmediatamente
después. Su finalidad es paliar los efectos adversos de la amenaza.
• El plan de recuperación. Contempla las medidas necesarias
después de materializada y controlada la amenaza. Su finalidad es
restaurar el estado de las cosas tal y como se encontraban antes de
la materialización de la amenaza
45. • Amenaza: Incendio. (los activos afectados son
los anteriores).
• Impacto: (es un ejemplo ficticio)
• Perdida de un 10% de clientes.
• Imposibilidad de facturar durante un mes.
• Todas estas consecuencias pueden valorarse
en términos monetarios, que junto a la
probabilidad de materialización ofrecen una
estimación del riesgo.
46. El plan de contingencias contendría
someramente las siguientes
contramedidas:
• Medidas técnicas:
– Extintores contra incendios.
– Detectores de humo.
• Medidas organizativas:
– Seguro de incendios.
– Precontrato de alquiler de equipos informáticos y
ubicación alternativa.
• Medidas humanas:
– Formación para actuar en caso de incendio.
– Designación de un responsable de sala.
47. Los subplanes contendrían las
siguientes previsiones:
• Plan de respaldo:
– Revisión de extintores.
– Simulacros de incendio.
• Plan de emergencia:
– Activación del precontrato de alquiler de equipos
informáticos.
– Restauración de las copias de respaldo.
• Plan de recuperación:
– Evaluación de daños.
– Traslado de datos desde la ubicación de emergencia a
la habitual.