Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Auditoría informática y métricas de seguridad informática

Presentación realizada para la clase de Administración de la Función Informática (AFI)
by

Clara Laborde

on 20 August 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Auditoría informática y métricas de seguridad informática

Factores que influyen a que haya una auditoría informática:

* La alta sistematización de las organizaciones
* Nuevas tecnologías
* Automatización de los controles de
Integración de la información con gran importancia
Auditoría Informática
Menciona los objetivos que debe cubrir la Auditoría Informática
Las TIC's surgen a partir de los avances tecnológicos, son el conjunto de tecnologías que permiten el acceso, producción,
tratamiento y comunicación de información presentada en diferentes formas tales como sonidos, imágenes, texto etc.
Las Tecnologías de la Información y la Comunicación (TIC) están presentes en todos niveles de nuestra sociedad actual, desde las más grandes corporaciones multinacionales, a las PyMEs, gobiernos, administraciones, universidades, centros educativos, organizaciones socioeconómicas e incluso tu y yo pertenecemos a ése mundo.
En lasTIC, los mensajes son instrucciones y datos que se transmiten entre emisor y receptor (usuarios) por un canal digital (hardware), establecidos por un código (software) dentro de un contexto establecido por convenios internacionales.
Cuál es la conexión entre las TIC's y el internet?

Las TIC's tienen por objetivo la utilización de tecnologías específicamente las computadoras y medios electrónicos (celulares, palms, etc) para el manejo y procesamiento de información, para llevar a cabo la comunicación, convirtiéndose así de ésta forma en un nuevo canal en el proceso de la comunicación.
UNIVERSIDAD TECNOLÓGICA DE CD. JUÁREZ.
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN.
ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA.
PROFESOR: EDUARDO GUERRERO.
ALUMNA: CLARA EILEAN LABORDE GÁMEZ.
GRUPO: TSM31

El objetivo fundamental de la auditoría informática

Es la operatividad, consistente en que la organización y las maquinas funcionen, al menos mínimamente.
La operatividad de los Sistemas ha de constituir entonces la principal preocupación del auditor informático.




Rol del auditor.

El auditor informático ha de velar la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información.
Qué son las tecnologías de la Información y la comunicación?
Alcance de la auditoría.

Es definir en donde se va a realizar y hasta que limites se va hacer la auditoría, con el fin de cumplir con los objetivos de la auditoría informática.
Objetivos de la auditoría informática

+ El control de la función informática
+ El análisis de la eficiencia de los Sistemas Informáticos
+ La verificación del cumplimiento de la normativa en este ámbito
+ La revisión de la eficaz gestión de los recursos informáticos.
Cabe mencionar que el elemento más representativo de las TIC's es la computadora y profundizando aún más el Internet, pero...
Qué es el internet?,
El internet es una red de redes, una red que no sólo interconecta computadoras, sino que interconecta redes de computadoras entre sí.
Una red de computadoras es un conjunto de máquinas que se comunican a través de algún medio con el objeto de compartir recursos.
En pocas palabras es una red mundial.
Contenido:

*Auditoría informática.

*Métricas de seguridad.


VENTAJAS
Desde la perspectiva del aprendizaje, las TIC favorecen la continua actividad intelectual y desarrollan la creatividad y el aprendizaje cooperativo.



Existen 3 características importante de las TiIC's.
Característica I:

*Inmaterialidad: Consiste en transformar la información física a medios inmateriales mediante la digitalización.

Característica II:
* Instantaneidad: Se puede transmitir la información instantáneamente a lugares muy alejados físicamente,




Características de las TIC's

* Aplicaciones Multimedia: Las aplicaciones o programas multimedia han sido desarrollados como una interfaz amigable y sencilla de comunicación.

Clasificación de las TIC's.

Las TIC's se clasifican en 2 grandes grupos
1.-Informática: Es todo lo que se refiere a procesamiento de datos.
Bases de datos
Hojas de cálculo
Programas de presentación

2.-Telemática: Es el conjunto de servicios de origen informático suministrador a través de una red de telecomunicaciones.
Correo Electrónico
Audio conferencias
Video conferencia
Espacio de web



Desventajas.
Las TIC pueden generar distracciones, dispersión, pérdida de tiempo, Información poco fiable, aprendizaje superficial y dependencia de los demás.


¿Qué hace que la información sea un recurso crítico para la organización?
¿Qué es la información?
En términos coloquiales es el aceite que lubrica el motor de toda industria, es decir la empresa por fuera y por dentro genera información vital para subsistir, por ejemplo información financiera, información de su recurso humano etc que es recogida, almacenada y procesada con el fin de utilizarlas para la toma de decisiones en la organización.
Clasificación de la información
La información se clasifica en 4 ramas importantes.
* Información estratégica: Permite definir el objetivo principal de la empresa, así como los recursos y políticas necesarias para alcanzar dicho objetivo.
* Información para el control y gestión: Es el que comunica los resultados de las mediciones, la información necesaria y los posibles resultados destacando los errores
.
Calcificación de la información
* Información técnica: son aquellos que se realizan día a día e incluyen un reporte de todo el conjunto de operaciones que son necesarias para mantener la empresa en funcionamiento.

Calcificación de la información
* Información contable y financiera es la información que se genera con el propósito de control e información financieros.
Cuál es la importancia de la información en una empresa?
La información es vital ya que con ésta se lleva a cabo lo que es la toma de decisiones, la calidad de ésta será igual a la calidad de la información recolectada.
Toma de decisiones e información.
Una decisión es una selección entre dos o más alternativas, que ocurre en numerosas y diversas situaciones.
Tomar una decisión implica:

1.- Definir el propósito: qué es exactamente lo que se debe decidir.
2.- Listar las opciones disponibles: cuales son las posibles alternativas.
3.- Evaluar las opciones: cuales son los pro y contra de cada una.
4.- Escoger entre las opciones disponibles: cual de las opciones es la mejor.
5.- Convertir la opción seleccionada en acción.
Características de la información para la toma de decisiones.
Para que se pueda tomar una decisión con la información recolectada, ésta debe de seguir un estándar para que la información recolectada sea verídica y creíble.
1.- Información completa
2.- Verídica.
3.- Auditable.
4.- Autorizada.
¿Por qué la información es crítica?
La información es crítica para el negocio, ya que una pérdida de la información significará días de pérdida en ganancias, ya que los clientes acudirían a la competencia si esto ocurre son miles de dolares perdidos. Para evitar la pérdida de la información se requiere tener un respaldo de su totalidad, base de datos, etc, pero realmente son pocas las empresas que se han de preparar para la pérdida total y/o parcial de su información.
Todas las empresas, independientemente de su tamaño, organización y volumen de negocio, son conscientes de la importancia de tener implantadas una serie de políticas de Seguridad tendentes a garantizar la continuidad de su negocio en el caso de que se produzcan incidencias, fallos, actuaciones malintencionadas por parte de terceros, pérdidas accidentales o desastres que afecten a los datos e informaciones que son almacenados y tratados, ya sea a través de sistemas informáticos como en otro tipo de soportes, como el papel.
¿Por qué la información es crítica?
El valor de la información, es considerada como un bien tangible, representante de activos y pasivos con un valor irreemplazable, la pérdida de dicha información solo es valorada ya cuando la empresa tiene el problema y muy pocas veces antes. Por ende podemos asumir que en la mayoría de las empresas la información no es punto crítico, aun que debería ser ya que de ésta depende si la empresa sobrevive o muere.
 


¿La información es un elemento crítico para las empresas?
Explica por qué la caída de sistemas puede colapsar una empresa organización u organismo gubernamental
La caída de un sistema de información en cualquier organización tiene 2 significas
1.- Perdidas de miles de dolares
2.-La muerte de la empresa
Costos tangibles
¿Cómo repercute la caída del sistema de información a la empresa?
Cuál es el costo de tener la empresa fuera de servicio por 3 horas?
Supongamos que tenemos una empresa que gana 2,000,000,000 anuales se dividen por 4380 horas de trabajo al año y se multiplica por 3 horas perdidas, lo que nos arroja un total de $1’369,863.01 USD. Pero ése no es el valor real
que el error humano o mal intencionado ha provocado, para ello debemos calcular cual ha sido el costo real de la caída del sistema.
Son fácilmente de medir y de identificar en términos de dinero, los costos tangibles incluyen pérdidas por falta de ganancias, los costos por inactividad de los empleados, pérdida de inventario, costos de publicidad, pagos a Bancos, penalizaciones futuras y costos legales.
Como vemos la caída de de un sistema de información conlleva muchos aspectos, no solamente en cuestión de ventas, sino todos las repercusiones futuras que pueda tener.
La caída del sistema obliga al usuario a buscar otros medios, esto significa que la empresa pierde clientes potenciales, y en caso de
oficinas gubernamentales significa una pérdida de los ingresos del Estado, ya que una forma para recaudar fondos para el gasto público de una ciudad es a través de impuestos, actas, matrimonios, predial etc, una falla que colapse éstos servicios significaría una pérdida a gran escala para el´ Estado y una gran molestia para los usuarios.
Un sistema que lleve caído más de 3 días podría originar
el fin para dicha empresa ya que la recuperación del sistema dentro de las primeras horas son vitales para el negocio, si no se logra hacerlo las perdidas serán incluso más grandes que las ganancias de todo un año.
Mejorar la gestión y el control de las T.I
¿Cómo mejorar la gestión y el control de las T.I.?
Para ello la empresa deberá de contar con:
* Una función de auditoría informática independiente
* Una utilización correcta de la informática en la práctica de los distintos tipos de auditoría,
* La definición de unos objetivos de control de T.I.
Las TIC en la gestión de la empresa
Las Tecnologías de la Información y la Comunicación (TIC) proporcionan multitud de herramientas que contribuyen a mejorar la gestión y servicio ofrecido a la clientela requiriendo de menos tiempo por parte de las personas.
Beneficios al mejorar la implementación de las TI
* Mejor aprovechamiento del tiempo: la automatización de tareas permite dedicar más tiempo a tareas más productivas.
* Mejor gestión del negocio: se puede pueden controlar todas aquellas tareas que intervienen en el negocio: stock del almacén, rentabilidad de los productos, compras por empresa proveedora…
* Reducción de la carga administrativa.
No a todos les sirve lo mismo
Las TI deberán ser adaptadas dependiendo del giro de la empresa y de su tamaño, aun que en escencia parece lo mismo cada empresa tiene sus propias necesidades
Las TI mejoran la rentabilidad de la empresa.
¿Qué es una auditoría?
¿Qué es una auditoría informática
Es aquella actividad auditora que trata de evaluar la eficiencia, fiabilidad y salvaguarda de la información producida en una empresa o institución. Su finalidad es encontrar incongruencias que puedan alterar la información a beneficio propio, o en su defecto encontrar las vulnerabilidades para evitar el robo y la perdida de la información.
 

¿Qué debe de analizar la auditoría informática?
Son 2 principalmente.
* La función informática: Es el análisis de la organización, seguridad, segregación de funciones y gestión de las actividades de proceso de datos.



¿Qué debe de analizar la auditoría informática?
Los sistemas informáticos, buscando asegurar la adecuación de los mismos a los fines para los que fueron diseñados.
¿Cuál es la importancia de la auditoría informática?
Con la auditoría informática se pretende:
- Reducir la posibilidad de pérdida de la información por fallos en los equipos, en los procesos o por una gestión inadecuada de los archivos de datos.
-  Detectar y prevenir fraudes por manipulación de la información o por acceso de personas no autorizadas.

¿Por qué es importante gestionar la necesidad de la Auditoría Informática?
¿Cuáles son las métricas que se deben vigilar según la Auditoría Informática?
Principio: Si no medimos no podemos gestionar
¿Qué es una métrica?
Es una metodología de planificación, desarrollo y mantenimiento de sistemas de información. Son un conjunto de medidas que se le aplica a la información para mantenerla precisa y segura de cualquier agente externo que pudiera ponerla en peligro.
Características de las métricas de seguridad
- Sin criterios subjetivos.
- Fáciles de recolectar.
- Expresada en números cardinales o porcentajes
- Detalladas con unidades de medida
- Relevante para la toma de decisiones
Las métricas que se deben vigilar son:
:
 La función informática y Los sistemas informáticos, para ello existe un modelo el cuales nos pueden ayudar a mantener a salvo la información la cual es de vital importancia para toda organización, sin sistema no s podría llevar a cabo nada.

Modelo estratégico
Este modelo sugiere una forma de integrar los principios de seguridad informática, TICS, tecnologías de seguridad e incidentes.
Beneficios de aplicar las métricas
- Comprender mejor los riesgos.
- Identificar problemas.
- Medir el desempeño de los controles
- Actualizar la tecnología de la empresa
Tradicionalmente se contemplan 2 tipos:
Interna: La desarrollan personas que pueden o no depender de la entidad.
Externas: La desarrollan profesionales que no dependen de la organización
Auditoría informática de explotación
Es otro tipo de auditoría informática, ésta se encarga de producir resultados informáticos de todo tipo, el material es revisado cuidadosamente para evitar fallos y pérdida de información.
Auditoría de la Seguridad informática:
La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales


Auditoría Informática de Comunicaciones y Redes:
Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática.


Tipos de auditoría
informática.
¿Cuáles son las áreas de un departamento de informáticas que son susceptibles de auditarse?
Áreas a auditar en informática
- A toda la entidad.
- A un departamento.
- A un área.
- A una función.
- A una sub-función.
Auditorías que se pueden aplicar
- Al ciclo de vida del desarrollo de un sistema.
- A un sistema en operación.
- A controles generales.
- A la administración de la función informática.
- A redes.
Elementos que se auditan
A NIVEL DEL ÁREA DE INFORMÁTICA.
RECURSOS MATERIALES Y TECNICOS.-
*Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)
*Fechas de instalación de los equipos y planes de instalación.
*Contratos vigentes de compra, renta y servicio de mantenimiento.
*Contratos de seguros.
Elementos que se auditan

*Convenios que se tienen con otras instalaciones.
*Configuración de los equipos y capacidades actuales y máximas.
*Planes de expansión.
*Ubicación de los equipos.
*Políticas de operación.
*Políticas de uso de los equipos.
Áreas sujetas a auditoria informática:
- Departamento de sistemas.
- Soporte.
- Help desk.
- Departamento de finanzas.
- Departamento administrativo.

Conclusión:
Las organizaciones manejan una gran cantidad de información, con la cual se toma decisiones importantes para el futuro de la empresa, es preciso auditar dicha información, así como de los medios necesarios para salvaguardar dicha información y no tener caídas en los sistemas, o simplemente protegerla de ataques de personas mal intencionadas,. Gracias a la auditoría nos podemos percatar de las vulnerabilidades que posee nuestro sistemas, y con éstas podemos aplicar medidas para mantener la información a salvo
Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo y/o una entidad, ésta propone alternativas de solución a los problemas, y debe de realizarse antes de que un error sea detectado, cuando todos los programas funcionen correctamente.
Las TI dentro de la empresa hacen posible su contacto de forma más rápida, tal ejemplo lo tenemos con grupo BIMBO el cual recientemente ha mejorado la gestión de las TI, específicamente las de servicio al cliente con la implementación de OpenView en sus servicios. Si bien las TI mejoran la calidad de servicio que la empresa ofrece, una empresa que no utilice éstas herramientas estará destinada a la quiebra en cuestión de meses, ya que no solo las TI se refieren a internet o página web del negocio, sino se refiere a toda una madeja de sistemas informáticos, desde redes intranet hasta sistemas de puntos de venta.
Auditoría externa
Auditoría interna.
¿Para que nos sirve la auditoría?
*Buscar una mejor relación costo-beneficio de los Sistemas automáticos
*Incrementar la satisfacción de los usuarios de los SISTEMAS
*Asegurar una mayor integridad, confidencialidad y confiabilidad de la información.
*Seguridad de personal, datos, hardware, software e instalaciones
*Minimizar existencias de riesgos en el uso de Tecnología de información
*Decisiones de inversión y gastos innecesarios
*Capacitación y educación sobre controles en los sistemas de Información.
REFERENCIAS:

http://www.monografias.com/trabajos40/auditoria-aplicacion/auditoria-aplicacion.shtml

http://es.slideshare.net/kicwua/principales-reas-de-la-auditoria-informtica-15936855

http://www.slideshare.net/luismarlmg/auditoria-informatica-12602907

http://es.slideshare.net/santy6a/auditoria-de-la-funcion-informatica

http://audifinysis.blogspot.mx/2010/03/riesgos-informaticos.html

http://es.slideshare.net/romellopez/areas-de-la-uditoria-informtica

http://www.cocesna.org/pagina.php?id=72&lng=0

http://es.scribd.com/doc/51575349/Tipos-de-Auditoria-Informatica

http://uttn-tic-si.wikispaces.com/Auditoria+Informatica

http://es.wikipedia.org/wiki/M%C3%89TRICA
Full transcript