Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

exposición de auditoria de sistemas

comunicación de datos y sistemas distribuidos
by

juan sevastian

on 19 January 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of exposición de auditoria de sistemas

cesantías E Intereses

JUAN SEVASTIAN CARVAJAL RIVAS

CESANTIAS
sistemas distribuidos
Sketches
Las cesantías son una prestación social que contempla la legislación laboral colombiana que busca proteger de alguna forma al trabajador que queda “cesante”, es decir, aquel trabajador que queda desempleado o que simplemente se le termina el contrato de trabajo, lo cual no siempre implica que quede desempleado, pero la ley así lo ha supuesto.
CODIGO DE IDENTIFICACION ELECTRONICA
Las Cesantías se calculan mediante la fórmula Días laborados x Salario / 360 días, El auxilio de transporte deberá ser tomado como parte del salario para realizar la liquidación de cesantias.
Cómo se calcula el valor de las cesantías
¿Cuándo es el pago de mis cesantías?
Hay plazo hasta el 14 de febrero para pagar las Cesantías, si pasada esta fecha no se ha hecho el pago se generará una sanción por mora de un día de salario por cada día de atraso en el pago.



Si el trabajador se retira de trabajar antes del 31 de diciembre del año en curso la empresa deberá pagar directamente al trabajador las Cesantías causadas por el tiempo trabajado.
Es la utilidad sobre el valor de las Cesantías que las empresas deben pagarle a los trabajadores directamente por nómina. El interés por ley corresponde al 12% anual y la emrpesa debe:
Intereses de las cesantías
1. Liquidar al trabajador el interés al 31 de diciembre de cada año.
2. Pagar al trabajador el interés a más tardar el 31 de enero siguiente. De lo contrario, la empresa deberá pagar una sola vez el doble de los intereses causados.
Consiste en la utilización de MODEMS que involucran interruptores de loop-back para aislamiento de fallas. Dichos interruptores permiten que la organización establezca si un error o aumento de los mismos se deben al MODEM o a la línea con la que éste está conectado.
INTERRUPCIONES LOOP-BACK DE MODEM
Es una técnica para detectar e informar sobre los errores cometidos en la comunicación de datos que tengan relación con las unidades de mensaje. En la corrección de errores de emisión se utilizan códigos sofisticados que contienen redundancias suficientes para detectar y corregir errores sin retransmisión.
CORRECCION DE ERRORES DE EMISION
Es una técnica para detectar e informar sobre los errores cometidos en la comunicación de datos que tengan relación con las unidades de mensaje. En la corrección de errores de emisión se utilizan códigos sofisticados que contienen redundancias suficientes para detectar y corregir errores sin retransmisión.
CORRECCION DE ERRORES DE EMISION
El loop local es la línea que se extiende entre las dependencias de la organización y las sucursales cercanas a la empresa de teléfonos.
Teniendo en cuenta que todos los mensajes recibidos por el computador central deben pasar por el loop local, es definitivo el control físico del mismo.
SEGURIDAD DE LOOP LOCAL
ENCRIPCION DE LOS DATOS
Es una técnica muy efectiva para enmascarar los datos con el objeto de evitar su utilización no autorizada. Existen algoritmos realmente complejos que permiten encriptar (enmascarar) los datos de manera que no puedan ser entendidos, en el evento de ser obtenidos accidental o intencionalmente.
Cuando se demora o se detiene el proceso de comunicación de datos, se utilizan MODEMS con capacidad para manejar comunicaciones entre los operadores de emisión -recepción, en forma alternativa, por la misma línea que se están transmitiendo los datos, para averiguar las causas del problema.
MODEMS DE APLICACIÓNES MULTIPLES
Son MODEMS que se conservan en las terminales críticas para utilizarlos cuando no funcionen los MODEMS que están en operación.
MODEMS DE RESPALDO
Consiste en duplicar las líneas de comunicación fundamentales para disminuir la posibilidad de que se pierda un enlace de comunicación debido a una falla en línea activa.
LINEAS DE RESPALDO
Es un dispositivo de registro magnético se lleva un log de todos los mensajes de entrada y salida para facilitar la recuperación o reiniciación del sistema y el rastreo de los mensajes.
LOG DE MENSAJES DE ENTRADA/SALIDA
Todos los mensajes que esperan transmisión se colocan en un log de espera antes de ser incluidos en la cola de transmisión. A medida que se transmiten y se reciben los mensajes, el terminal receptor responde que el mensaje se ha recibido correctamente. Luego se purga el log de espera.
LOG DE ESPERA PARA LOS MENSAJES
Todos los errores de transmisión de mensajes, en el sistema se registran en un log, el cual incluye el tipo de error, la hora, la fecha, el terminal, el operador y el numero de veces que el mensaje se retransmitió antes de que fuera recibido correctamente.
REGISTRO DE ERRORES
En el manual de usuario se especifican lo mensajes de error, en forma detallada, para que el usuario los interprete y opte por la corrección correspondiente.
PROCEDIMIENTOS DE CORRECION DE ERRORES
Son MODEMS con paneles de luces frontales que permiten saber si el circuito esta funcionando apropiadamente.
MODEMS CON PANELES DE LUCES
Todo el equipo de computación de datos debe someterse al plan de mantenimiento indicado en los manuales del fabricante y de acuerdo con las indicaciones de los expertos, en la medida que se vayan deteriorando por el uso o adecuado avance tecnológico.
MANTENIMIENTO DEL EQUIPO DE COMUNICACIONES
Los procesadores frontales y los concentradores deben realizar funciones de control, tales como: disparo de alarmas remotas si se exceden ciertos parámetros, hacer operaciones internas de multiplexado, señalar a la computadora central sucesos anormales, retrasar mensajes de entrada/salida cuando la computadora central este sobrecargada por altos volúmenes de operaciones.
CONTROL DE SUCESOS ANORMALES
Para efectos de auditoría, especialmente, la documentación del software del sistema debe ser suficientemente clara y comprensible para garantizar un eficiente manejo por parte de los usuarios.
DOCUMENTACION COMPRENSIBLE DEL SISTEMA
Que es un comando crítico?
Son aquellos que se ejecutan en una maquina codificada
Cuando sea necesario operar comandos críticos con el sistema, deben restringirse a una terminal maestra de entrada y mantener un riguroso cuidado físico de la misma.
RESTRICCION DE COMANDO CRITICOS
Se requieren procedimientos confiables para la recuperación, cuando suceden fallas de software y/o hardware. Este control es vital para la organización porque permite la continuidad, en materia de funcionalidad del sistema.
PROCEDIMIENTOS DE RECUPERACION ADECUADOS
USO DE ENERGIA AUXILIAR
En el evento de caída del sistema por fallas en la fuente de energía, es necesario prever la utilización oportuna de fuentes auxiliares de energía para garantizar la continuidad del sistema.
SEGURIDAD Y PRIVACIDAD
Deberá existir una política de seguridad y privacidad efectiva para todo el circuito de comunicación de datos, que asegure confiabilidad en el procesamiento electrónico de datos.
Los programas que procesan datos confidenciales deben grabarse en áreas protegidas de la memoria principal y secundaria.
CONTROL DE PROGRAMAS
Deberán establecerse políticas para el uso de equipos de prueba, a fin de evitar nuevas vulnerabilidades del sistema. Los equipos de prueba se conectan fácilmente a las líneas de comunicación de datos y por consiguiente no deben utilizarse para monitorear las líneas, en forma libre, esto es, sin un mínimo de controles.
POLITICAS PARA EL USO DE EQUIPOS DE PRUEBA
Establecer una mesa de control a la cual deberán reportarse todos los problemas hallados en el circuito de comunicaciones de datos para efectos de ser tratados oportunamente.
MESA DE CONTROL PARA COMUNICACIONES
Los empleados vinculados al circuito de comunicación de datos, deben someterse a planes de entrenamiento técnico regularmente, debido a la alta especialidad requerida para el desempeño funcional.
ENTRENAMIENTO DE PERSONAL
Los equipos integrantes de los circuitos de comunicación de datos y el software correspondiente, deberán someterse a pruebas rigurosas de validación pre operativa hasta cuando los resultados sean satisfactorios.
PRUEBA DE LOS EQUIPOS Y DE LOS PROGRAMAS
SISTEMAS DISTRIBUIDOS
un sistema distribuido persigue los siguientes objetivos:
llevar al computador al lugar del usuario en vez de hacer lo contrario
tener acceso y capacidad de comunicación con los grandes centros de computo y base de datos
poder hacer intercambio con los usuarios en forma económica
objetivo
1. Errores y omisiones.
2. Desastres o interrupciones
3. Faltas contra la privacidad.
4. Robo
5. Pérdida o cambio de mensajes
6. Penetración Ilegal
7. Entrada de datos sin validar
8.Manejo Inadecuado de errores.
RIESGOS EN LOS SISTEMAS DISTRIBUIDOS
POLÍTICAS GENERALES PARA LAS TERMINALES EN LÍNEA:
Debe diseñarse políticas que engloben la organización de las terminales en línea y los usos que se les pueda dar dentro del sistema.
controles
los empleados que ocupan posiciones especialmente estratégicas o claves, dentro del sistema deben estar sujetos a controles especiales.
CONTROL ESPECIAL A EMPLEADOS DE POSICIÓN CLAVE:
Deberán estar protegidas por pólizas de seguro que cubran los riesgos mas significativos.
SEGURO DE TERMINALES
Debe crearse un código de transacciones para las terminales , de tal manera que solamente ciertos tipos de transacciones puedan ser alimentadas desde determinadas terminales.
CODIGO DE TRANSACCIONES
Llamado también contraseña es un numero o combinación de números y letras secretas, que solamente conoce un usuario y debe conservarse en confidencialidad.
CODIGO INDIVIDUAL DE SEGURIDAD
ACCESO FÍSICO A LAS TERMINALES
Deben conservarse en Lugares fisicamente seguros, de manera que solamente el personal autorizado pueda autorizarla

Son terminales que pueden ser trabadas desde el lugar en donde se encuentra la computadora central
TERMINALES CON TECLADO TRABABLES

Este control asegura que los operadores no podrán accesar al sistema fuera de los horarios autorizados
DESCONECTAR EL SISTEMA EN HORAS NO HÁBILES

Para efecto de registro deberán asignarse códigos para la identificación de terminales, de manera que sean transmitidos desde las terminales a la computadora central o a la inteligencia distribuida para que sean verificados y las terminales puedan funcionar en el sistema.
LOG DE LA TERMINAL
Para facilitar el control del sistema, se podrán establecer niveles de restricción en las terminales
RESTRICCIÓN DE ALGUNAS TERMINALES


La correlación del código individual del usuario con el tipo de transacciones autorizadas para ese usuario, establece una separación electrónica de funciones, la cual resulta afectiva como norma de control linterno
CORRELACIÓN DE CONTRASEÑA CON TRANSACCIONES

Es la identificación de la linea de comunicación con las terminales que lleguen por ese circuito
CORRELACIÓN DE IDENTIFICACIÓN DE CIRCUITOS CON TERMINALES FÍSICAS
Debe ejercerse un riguroso control de acceso a los Logs para que constituya un efectivo instrumento de control.
CONTROL DE ACCESO A LOS LOGS


Deberán hacerse reportes diarios en línea, tales como el reporte del estado de la terminal, el criterio de envió de mensajes, el estado actual de los registros de todas las terminales, entre otros.
REPORTES DIARIOS EN LÍNEA
Es necesario diseñar sendas de auditoria expresadas en rutinas de rastreo de mensajes, de manera que el usuario de una terminal pueda rastrear mensajes una vez enviados
PISTAS DE AUDITORIA

Deben ser insertados a través de la consola del sistema de manera que puedan revisarse oportunamente.
DIARIO DE COMANDOS DEL SISTEMA

Debe implementarse un control riguroso al equipo monitor con el que se puedan leer los datos que van por las líneas de comunicación.
CONTROL ESTRICTO AL EQUIPO DE PRUEBA DEL CIRCUITO
Deben revisarse periódicamente con respecto a la protección contra acceso no autorizado, a la contabilidad de los mensajes, a los procedimientos para controlar los cambios al software y a la administración de la base de datos
CONTROLES DE SOFTWARE


Deben existir controles adecuados sobre el software de la memoria, archivos en disco, memoria Ram, software operativo para ambientes distribuidos, de telecomunicaciones y de seguridad
CONTROLES DE EQUIPO
PLAN DE CONTINGENCIAS
Debe contemplarse un plan que cubra los lugares remotos del sistema en eventos tales como:
Desastres totales
Atentados
Incendios
Inundaciones

Estos deben estar suficientemente documentados de manera que los operadores puedan accionarlos satisfactoriamente, como norma de control
PROCEDIMIENTOS DE REINICIO Y PUNTOS DE VERIFICACIÓN

Deberá prohibirse que estos sean tecleados desde las terminales remotas. Son comandos maestros aquellos que cambian ciertos parámetros básicos del sistema o que pueden afectar los sistemas operacionales y las bases de datos.
COMANDOS MAESTROS
MAQUINA
USUARIOS
LAS TRANSACCIONES

Es necesario establecer prioridades en los niveles de asignación de códigos individuales de seguridad, las terminales, los circuitos, de identificación de terminales y los identificadores de circuitos
NIVELES DE ASIGNACIÓN Y PRIORIDADES
Deberán ejecutarse rutinas de edición y validación en la inteligencia distribuida o en los puntos terminales remotos.
EDICIÓN Y VALIDACIÓN
Para la corrección de errores en linea, deberán devolverse inmediatamente los errores a las respectivas terminales
CORRECCIÓN DE ERRORES

Los errores deberán listarse y controlarse para asegurar la total y oportuna corrección. Los datos erróneos podrán tenerse en archivos en línea para hacer operados en tiempo real.
LISTADOS DE ERRORES
Los datos rechazados deben controlarse a partir de cifras establecidas para el efecto. El cotejo de estas puede hacerse manualmente o a través de programas especialmente diseñados para este tipo de trabajos
CIFRAS DE CONTROL DE RECHAZOS


El mantenimiento del sistema deberá ser siempre preventivo, de acuerdo con las instrucciones del fabricante de esta manera el mantenimiento correctivo se presentara muy excepcionalmente
MANTENIMIENTO PREVENTIVO
Deberá establecerse un mecanismo de control que asegure la verificación de la autorización de entradas por parte del usuario, mediante la confrontación de firmas en los documentos fuente, el uso de la contraseña del usuario u otro método de reconocido valor técnico.
AUTORIZACIÓN DE ENTRADAS
REGISTROS PARA AUDITORIA
Cuando se registren en los LogS las transacciones de entrada, deberán incluirse la identificación de la terminal y el código o contraseña del usuario, para propósitos de auditoría.
Deberán publicarse ciclos de procesamiento para facilitar a los usuarios el control de las fechas de cierre. Puede programarse el computador para que verifique las fechas de corte y en consecuencia asegurar la entrada de las transacciones a su debido tiempo.
CICLOS DE PROCESAMIENTO

Consiste en un pequeño circuito instalado dentro de la terminal, de manera que cuando esta se conecte al circuito, el centro de computo interrogue a la terminal para conocer su identificación. En esta forma la organización puede controlar a las terminales que permite el acceso al sistema central o distribuido.
CHIP DE IDENTIFICACIÓN DE TERMINAL
GRACIAS...
Full transcript