Nace como una forma de controlar las activdades de algunas instituciones estatales y privadas, su funcion inicial era estrictamente economico-financiero
Auditoria de Sistemas
La auditoria es la disciplina que provee de herramientas a los auditores para La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia
Objetivos de la Auditoria de Sistemas
- Control de la función informática
- Análisis de la eficiencia de los sistemas informáticos
- Verificación del cumplimiento de la normativa general de la empresa
- Revisión de la eficiencia, eficacia y economicidad de los recursos materiales y humanos informáticos
CONTROL INTERNO INFORMATICO
- Las medidas preventivas son aquellas orientadas a la prevención de riesgos o situaciones anómalas a las fijadas en la institución. Un ejemplo de esto es prevenir accesos no deseados a las aplicaciones.
- Las medidas detectivas son aquellas que muestran evidencia de incumplimiento o intentos de quebrantar los estándares fijados. Podríamos citar como situación ilustrativa la revisión de la bitácora de accesos fallidos a las aplicaciones con el fin de detectar horas y equipos desde donde se hace los intentos fallidos de acceso.
- Las medidas correctivas se orientan a recuperarnos ante la vulnerabilidad de las medidas preventivas. Van a ser evaluadas por su efectividad y tiempos de respuesta. Ejemplo de esto es las medidas orientadas a recuperase de los daños ocasionados por un acceso no deseado.
- Auditoria Informatica de Seguridad
- Auditoria Informatica de Datos
- Auditoria de Sistemas
Esta encargada de detectar intromisiones no autorizadas (intrusos)
- Tambien se encarga de prevenir dichas intromisiones
- Se preocupa de detectar y prevenir delitos frecuentes como:
- Espionaje cibernetico a computadoras
- Espionaje a redes computacionales
- Intromision en las CPDs
- Etc
- Observa los resultados que se producen como salida en los computadores
- Generalemente dependen directamente de los datos con que alimentamos
- Por lo tanto si los datos son erroneos va a producirse informacion resultante erronea
- Las Empresas no se preocupan de la calidad de los datos de entrada, los cuales si estan errados provocan un "efecto cascada" es decir afectan incluso a aplicaciones idependientes
- Una Amenaza latente para las empresas es que toda su gestion se apoye en un sistema informatico erroneo o mal diseñado
- Entonces la auditoria de sistemas debe tratar de corregir los problemas que suceden en estos caso o evitar que sucedan
AUDITORIA DE SEGURIDAD DE SISTEMAS DE INFORMACION
Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.
Estos síntomas pueden agruparse en clases:
- Síntomas de descoordinación y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
- Síntomas de mala imagen e insatisfacción de los usuarios:
- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos.
- Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costes.
- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Síntomas de Inseguridad:
- Evaluación de nivel de riesgos
- Seguridad Lógica
- Seguridad Física
- Confidencialidad
- Los datos son propiedad inicialmente de la organización que los genera.
Procedimientos
- Se procede a recopilar, clasificar y evaluar evidencia de manera de verificar si un sistema informatico esta cumpliendo con el resguardo de los activos
- Mantiene la integridad y seguridad de los datos
- Si el RRHH cumple efizcamente con los objetivos de la organizacion y utiliza efectivamente los recursos que ella posee
Para ello:
- Participar en las revisiones durante y despues del diseño, desarrollo, implementacion y explotacion de las aplicaciones informaticas, asi como tambien, en cualquier tipo de cambios que suceda,
- Revisar y juzgar el niivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e informacion
- Eficacia: Cumplir con los Requerimientos de Usuario
- Eficiencia: Utilizar recursos de manera optima
- Seguridad: Mitigar adecuadamente los riesgos
- Formacion tecnica, universitaria o equivalente
- Experiencia en estudios de auditoria
- Conocimientos profunos de computacion, solida experiencia en analisis, diseño y programacion de sistemas computacionales, y conocimientos de sistemas operativvos
- Analisis y Codificacion de programas de auditoria
- En la medida de los posible, independecia
- Etica,idoneidad y normas profesionales
- Realizar trabajos planificados
- Ejecucion Profesional
- Saber confeccionar informes de acuerdo al trabajo realizado
- Constancia, flexibilidad y caracteristicas personales de perfeccionamiento
El método de trabajo del auditor pasa por las siguientes etapas:
- Alcance y Objetivos de la Auditoría Informática.
- Estudio inicial del entorno auditable.
- Organización
- Organigrama
- Departamentos
- Relaciones Jerárquicas y funcionales entre órganos de la Organización
- Flujos de Información
- Número de Puestos de trabajo
- Número de personas por Puesto de Trabajo
- Determinación de los recursos necesarios para realizar la auditoría.
- Elaboración del plan y de los Programas de Trabajo.
- Actividades propiamente dichas de la auditoría.
- Confección y redacción del Informe Final.
- Redacción de la Carta de Introducción o Carta de Presentación del Informe final.
- Alcance y Objetivos de la Auditoría Informática
El control interno Informático y la auditoría Informática, tienen similitudes en sus objetivos profesionales. Son campos análogos que propician una transición natural entre ambas disciplinas. Sin embargo existen diferencias que conviene resaltar.
ORGANISMOS DE NORMALIZACION
La correcta gestión de la deuda pública, así como la legalidad de la ejecución del presupuesto del sector público y de los actos de las instituciones sujetas a control.
Ayudando al logro de los objetivos del Estado en eldesarrollo nacional y bienestar de la sociedad peruana
El Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual - INDECOPI- fue creado mediante Decreto Ley N° 25868 para promover en la economía peruana una cultura de leal y honesta competencia y para proteger todas las formas de propiedad intelectual: desde los signos distintivos y los derechos de autor hasta las patentes y la biotecnología.
NORMAS
NTP ISO/IEC 17799: IDI. Tecnologia de la Informacion, codigo de buenas practicas para la gestion de la seguridad de la Informacion, 2da edicion
ISO/IEC 12207
Establece un proceso de ciclo de vida para el software que incluye procesos y actividades que se aplican desde la definición de requisitos, pasando por la adquisición y configuración de los servicios del sistema, hasta la finalización de su uso. Este estándar tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común
ISO 9001
Propone la implementación de sistemas de gestión y aseguramiento de la CALIDAD,
- Aplicación:
- Diseño
- Producción,
- Instalación
- Servicio post-venta
El protocolo IEEE 802.11 o WI-FI es un estándar de protocolo de comunicaciones del IEEE que define el uso de los dos niveles más bajos de la arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. En general, los protocolos de la rama 802.x definen la tecnología de redes de área local.
Se enfoca básicamente en el desarrollo de estándares para redes tipo PAN o HAN redes inalámbricas de corta distancia. Al igual que Bluetooth
NORMAS UNE
Las UNE, Una Norma Española, son un conjunto de normas tecnológicas creadas por los Comités Técnicos de Normalización (CTN), de los que forman parte todas las entidades y agentes Norma implicados e interesados en los trabajos del comité.
COBIT (Control Objectives for Information and related Technology/ Objetivos de Control para Tecnología de la Información y Tecnologías relacionadas).
Es el modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas".
Adicional a este estándar podemos encontrar el standard ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.