Fases de un estudio de auditoria
·
Estudio
preliminar
·
Revisión
y evaluación de controles y seguridades
·
Examen
detallado de áreas criticas
·
Comunicación
de resultados
Procedimientos de auditoría:
- Revisión de la documentación de sistemas e identificación de los controles existentes.
- Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados.
- Utilización de software de manejo de base de datos para examinar el contenido de los archivos de datos.
- Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.
·
La
computadora es un instrumento que estructura gran cantidad de información, la
cual puede ser confidencial para individuos, empresas o instituciones, y puede
ser mal utilizada o divulgada a personas que hagan mal uso de esta.
·
También
pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o
parcial de la actividad computacional.
·
Esta
información puede ser de suma importancia, y el no tenerla en el momento
preciso puede provocar retrasos sumamente costosos.
·
En
la actualidad y principalmente en las computadoras personales, se ha dado otro
factor que hay que considerar: el llamado "virus" de las
computadoras, el cual, aunque tiene diferentes intenciones, se encuentra
principalmente para paquetes que son copiados sin autorización
("piratas") y borra toda la información que se tiene en un disco.
·
Al
auditar los sistemas se debe tener cuidado que no se tengan copias
"piratas" o bien que, al conectarnos en red con otras computadoras,
no exista la posibilidad de transmisión del virus.
·
El
uso inadecuado de la computadora comienza desde la utilización de tiempo de
máquina para usos ajenos de la organización, la copia de programas para fines
de comercialización sin reportar los derechos de autor hasta el acceso por vía
telefónica a bases de datos a fin de modificar la información con propósitos
fraudulentos.
·
La
seguridad en la informática abarca los conceptos de seguridad física y
seguridad lógica.
·
La
seguridad física se refiere a la protección del Hardware y de los soportes de
datos, así como a la de los edificios e instalaciones que los albergan.
·
Contempla
las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.
·
La
seguridad lógica se refiere a la seguridad de uso del software, a la protección
de los datos, procesos y programas, así como la del ordenado y autorizado
acceso de los usuarios a la información.
·
Un
método eficaz para proteger sistemas de computación es el software de control
de acceso.
·
Dicho
simplemente, los paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden del usuario una contraseña antes de permitirle el acceso
a información confidencial.
·
Dichos
paquetes han sido populares desde hace muchos años en el mundo de las
computadoras grandes, y los principales proveedores ponen a disposición de
clientes algunos de estos paquetes.
·
La
seguridad informática se la puede dividir como:
·
Área
General (Seguridad Global de una Instalación Informática).
·
Área
Específica (seguridad de Explotación, seguridad de las Aplicaciones, etc.).
·
Con
el incremento de agresiones a instalaciones informáticas en los últimos años,
se han ido originando acciones para mejorar la Seguridad Informática a nivel
físico. Los accesos y conexiones indebidos a través de las Redes de
Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la
utilización de sofisticados medios criptográficos.
·
El
sistema integral de seguridad debe comprender:
·
Elementos
administrativos.
·
Definición
de una política de seguridad.
·
Organización
y división de responsabilidades.
·
Seguridad
física y contra catástrofes (incendio, terremotos, etc.)
·
Prácticas
de seguridad del personal.
·
Elementos
técnicos y procedimientos.
·
Sistemas
de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto
redes como terminales.
·
Aplicación
de los sistemas de seguridad, incluyendo datos y archivos.
·
El
papel de los auditores, tanto internos como externos.
·
Planeación
de programas de desastre y su prueba.
·
La
decisión de abordar una Auditoría Informática de Seguridad Global en una
empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los
que está sometida.
·
Se
elaboran "matrices de riesgo", en donde se consideran los factores de
las "Amenazas" a las que está sometida una instalación y los
"Impactos" que aquellas puedan causar cuando se presentan. Las
matrices de riesgo se representan en cuadros de doble entrada<<
Amenaza-Impacto>>, en donde se evalúan las probabilidades de ocurrencia
de los elementos de la matriz:
Fuente:
Auditoria informática. L.I. Ivette Jiménez Martínez. myslide.es/documents/auditoria-informatica-li-ivette-jimenez...
0 comentarios:
Publicar un comentario