unidad5.-duran
Short Description
Download unidad5.-duran...
Description
Licenciatura en Informática
Auditoria Informática
Investigación Unidad IV.- Evaluación de la Seguridad
Instituto Tecnológico de Chetumal
Semestre: 9° A
Chetumal Q, Roo a Noviembre de 2010
Auditoria Informática
CONTENIDO RESUMEN .............................................................................................................. 1 INTRODUCCIÓN .................................................................................................... 2 UNIDAD III. EVALUACIÓN DE LA SEGURIDAD .................................................... 3 4.1
Generalidades de la seguridad del área física ........................................... 3
4.2
Seguridad lógica y confidencial .................................................................. 4
4.3
Seguridad personal .................................................................................... 6
4.4
Clasificación de los controles de seguridad ............................................... 7
4.5
Seguridad de los datos y software de aplicación ....................................... 8
4.6
Controles para evaluar software de aplicación ......................................... 10
4.7
Controles para prevenir crímenes y fraudes informáticos ........................ 12
4.8 Plan de contingencia, seguros, procedimiento de recuperación de desastres ........................................................................................................... 14 4.9 Técnicas y herramientas relacionadas con la seguridad física y del personal ............................................................................................................. 18 4.10 Técnicas y herramientas relacionadas con la seguridad de los datos y software de aplicación........................................................................................ 19 CONCLUSIÓN ...................................................................................................... 21 BIBLIOGRAFÍA ..................................................................................................... 22
Instituto Tecnológico de Chetumal
RESUMEN Mediante una investigación se ha obtenido la información necesaria para conocer los criterios que se deben de tomar en cuenta para realizar una auditoría en la evaluación de la seguridad, y así conocer que tipos de controles tienen en cuanto a seguridad, tanto lógica como física.
Esta investigación señala un panorama general sobre:
La seguridad lógica
La seguridad en los datos y software
Los controles de seguridad para software
La importancia del tener un plan de contingencias
Auditoria Informática
Página 1
Instituto Tecnológico de Chetumal
INTRODUCCIÓN Hoy en día la tecnología ha evolucionado y no siempre para bien, pues en grandes empresas se empieza a ver como se han intentado colapsar su seguridad e incluso extraer información de estas organizaciones.
Por lo que en esta investigación se da a conocer la forma en que se tiene que evaluar la seguridad, desde cómo se está llevando la seguridad lógica y si está bien aplicada, hasta se verifica la evaluación de la seguridad física de la misma organización.
Se pretende que el alumno conozca la importancia de salvaguardar la integridad
de
la información,
conceptualice
las políticas, procedimientos
necesarios para la seguridad física en un centro de cómputo y que pueda llevar a cabo la aplicación de estos conocimientos en la realidad.
Así también el alumno conocerá como están formados los planes de contingencia y sus técnicas y herramientas de la seguridad en datos.
Auditoria Informática
Página 2
Instituto Tecnológico de Chetumal
UNIDAD IV. EVALUACIÓN DE LA SEGURIDAD 4.1 Generalidades de la seguridad del área física
Fuente: Echenique García, José Antonio, Auditoría en Informática. Mcgraw-Hill, México, 2003.
Durante mucho tiempo se considero que los procedimientos de auditoría y seguridad era responsabilidad de la persona que elabora los sistemas, sin considerar que es responsabilidad del área de informática en cuanto a la utilización que se le da a la información y a la forma de accesarla, y del departamento de auditoría interna en cuanto a la supervisión y diseño de los controles necesarios.
La seguridad del área de informática tiene como objetivos: Proteger la integridad, exactitud y confidencialidad de la información Proteger los activos ante desastres provocados por la mano del hombre y de actos hostiles Proteger la organización contra situaciones externas como desastres naturales y sabotajes En caso de desastre, contar con los planes y políticas de contingencias para lograr una pronta recuperación Contar con los seguros necesarios que cubran las pérdidas económicas en caso de desastre
Los motivos de los delitos por computadora normalmente son por: Beneficio personal Beneficios para la organización Síndrome de Robín Hood (por beneficiar a otra persona) Auditoria Informática
Página 3
Instituto Tecnológico de Chetumal Jugando a jugar Fácil de desfalcar El individuo tiene problemas financieros La computadora no tiene sentimientos El departamento es deshonesto odio a la organización Equivocación de ego Mentalidad turbada
Se consideran que hay cinco factores que han permitido el incremento de los crímenes por computadora El aumento del número de personas que se encuentran estudiando computación El aumento del número de empleados que tienen acceso a los equipos La facilidad en los equipos de cómputo El incremento en la concentración del número de aplicaciones y, consecuentemente, de la información
En la actualidad las compañías cuentan con grandes dispositivos para seguridad física de las computadoras, y se tiene la idea que los sistemas no puedan ser violados si no se entra en el centro de cómputo, olvidando que se pueden usar terminales y sistemas de teleproceso. 4.2 Seguridad lógica y confidencial
Fuente: Echenique García, José Antonio, Auditoría en Informática. Mcgraw-Hill, México, 2003.
Se encarga de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada de una computadora, así como controlar
Auditoria Informática
Página 4
Instituto Tecnológico de Chetumal el mal uso de su información. Estos controles reducen el riesgo de caer
en
situaciones adversas.
La seguridad lógica se encarga de controlar y salvaguardar la información generada por los sistemas, por el software de desarrollo y por los programas en aplicación; identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especifico, e la redes y terminales.
La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización: Cambio de los datos antes o cuando se le da entrada a la computadora Copias de programas y/o información Código oculto en un programa Entrada de virus
El tipo de seguridad puede comenzar desde una simple llave de acceso (contraseñas) hasta los sistemas más complicados, pero se debe evaluar que cuanto más complicados sean los dispositivos de seguridad más costosos resultan.
Los sistemas de seguridad normalmente no se consideran la posibilidad de fraude cometida por los empleados en el desarrollo de sus funciones.
Un método eficaz para proteger los sistemas de computación el software de control de acceso. Estos paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a información confidencial.
Auditoria Informática
Página 5
Instituto Tecnológico de Chetumal El sistema integral de seguridad debe comprender: Elementos administrativos Definición de una política de seguridad Organización y división de responsabilidades
4.3 Seguridad personal
Fuente: Echenique García, José Antonio, Auditoría en Informática. Mcgraw-Hill, México, 2003.
Uno de los punto más importantes a considerar para poder definir la seguridad de un sistema es el grado de actuación que puede tener un usuario dentro de un sistema, ya que la información se encuentra en un archivo normal o en una base de datos, o bien que se posea una minicomputadora, o un sistema de red. Para esto podemos definir los siguientes tipos de usuarios: Propietario.- Es el dueño de la información y responsable de ésta, y puede realizar cualquier función Administrador.- Solo puede actualizar o modificar el software con la debida autorización Usuario
principal.-
Esta
autorizado
por
el
propietario
para
hacer
modificaciones, cambios, lecturas y utilización de los datos, pero no da autorización para que otros usuarios entren Usuario de consulta.- Solo puede leer la información Usuario de explotación.- Puede leer la información y usarla para explotación de la misma Usuario de auditoría.- Puede usar la información y rastrearla dentro del sistema para fines de auditoría
Auditoria Informática
Página 6
Instituto Tecnológico de Chetumal Se recomienda que solo exista un usuario propietario y que el administrador sea una persona designada por la gerencia de informática.
4.4 Clasificación de los controles de seguridad Fuente: http://www.gestiopolis.com/administracionestrategia/estrategia/seguridad-y-controles-en-lainterconexion-de-redes.htm.
El gran crecimiento de las redes, interconexiones y telecomunicaciones en general, incluido el uso de Internet de forma casi corriente, ha demostrado que la seguridad física no lo es todo. Es un punto que debe complementarse necesariamente con la implementación de controles para la seguridad lógica de los sistemas y computadoras. Es esa tendencia de interconexión de redes con otras redes, o de una simple PC a Internet la que nos da la pauta de que aún si usamos tarjetas electrónicas para acceder a nuestra oficina, hay otras puertas traseras mucho menos evidentes que debemos controlar porque nuestros sistemas están virtualmente a la espera de que alguien intente utilizarlos.
Los controles: Identificación y autenticación de usuarios.- Identificación es el proceso de distinguir una persona de otra; y autenticación es validar por algún medio que esa persona es quien dice ser. Los controles biométricos: o Huellas dactilares o Patrones de la retina o Geometría de la mano o Dinámica de la firma o Patrones de la voz
Auditoria Informática
Página 7
Instituto Tecnológico de Chetumal Programas de control de acceso.- Programas diseñados para administrar los permisos de acceso a los recursos del sistema de información. Controles para el software.- Sirven para asegurar la seguridad y confiabilidad del software. Controles para el hardware.- Controles que aseguran la seguridad física y el correcto funcionamiento del hardware de cómputo.
4.5 Seguridad de los datos y software de aplicación
Fuente: Echenique García, José Antonio, Auditoría en Informática. Mcgraw-Hill, México, 2003. Ruta de acceso
El acceso a la computadora no significa tener una entrada sin restricciones. Limitar el acceso sólo a los niveles apropiados puede proporcionar una mayor seguridad. Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema.
Como se ha señalado, un usuario puede pasar por uno o múltiples niveles de seguridad antes de obtener el acceso a los programas y datos. Los tipos de restricciones de acceso son: Sólo de lectura Sólo de escritura Lectura y consulta Lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar
El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema.
Auditoria Informática
Página 8
Instituto Tecnológico de Chetumal Software de control de acceso
Este puede ser definido como el software diseñado para emitir el manejo de control y acceso a los siguientes recursos. Programas de librerías Archivos de datos Jobs Programas de aplicación Módulos de funciones Utilerías Diccionario de datos Archivos Programas Comunicación
Controla el acceso a la información, grabando e investigando los eventos realizados y el acceso a los recursos, por medio de identificación del usuario.
El software de control de acceso tiene las siguientes funciones: Definición de usuarios Definición de las funciones del usuario después de accesar el sistema
El software de seguridad protege los recursos mediante la identificación de los usuarios autorizados con llaves de acceso, que son archivadas y guardadas por este software.
Algunos paquetes de seguridad pueden ser usados para restringir el acceso a programas, librerías y archivo de datos; otros pueden limitar el uso de terminales o restringir el acceso a base de datos.
Auditoria Informática
Página 9
Instituto Tecnológico de Chetumal La mayor ventaja del software de seguridad es la capacidad de proteger los recursos de acceso no autorizados, incluyendo los siguientes: Proceso en espera de modificación por un programa de aplicación Acceso por los editores en línea Acceso por utilerías de software Acceso a archivos de las base de datos Acceso a terminales o estaciones no autorizadas
Existen otros tipos de software de control de acceso como son los siguientes: Sistemas operativos Manejadores de base de datos Software de consolas o terminales maestras Software de librerías software de utilerías Telecomunicaciones
4.6 Controles para evaluar software de aplicación
Fuente: Echenique García, José Antonio, Auditoría en Informática. Mcgraw-Hill, México, 2003.
Controles del software de seguridad general Aplican para todos los tipos de software y recursos relacionados y sirven para:
El control de acceso a programas y a la instalación
Vigilar los cambios realizados
Controles de acceso a programas y datos
Cambios realizados o Diseño y código de modificaciones o Coordinación de otros cambios o Asignación de responsabilidades
Auditoria Informática
Página 10
Instituto Tecnológico de Chetumal o Revisión de estándares y aprobación o Requerimientos mínimos de prueba o Procedimientos del respaldo en el evento de interrupción
Controles de software especifico Se presentan algunos de los controles usados por los diferentes tipos de software específico: El acceso al sistema debe de ser restringido para individuos no autorizados
Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no autorizadas logren el acceso
Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo especifico de acceso de datos
Para asegurar las rutas de acceso deberá restringirse el acceso a secciones o tablas de seguridad, mismas que deberán ser encriptados
Deberán restringirse las modificaciones o cambios al software de control de acceso, y éstos deberán ser realizados de acuerdo y a procedimientos no autorizados:
Software de sistemas operativos. Controles que incluye: o Los password e identificadores deberán ser confidenciales o El acceso al software de sistema operativo deberá ser restringido o Los administradores de seguridad deberán ser los únicos con autoridad para modificar funciones del sistema
Software manejador de base de datos. Controles que incluye: o El acceso a los archivos de datos deberá ser restringido en una vista de datos lógica o Deberá controlar el acceso al diccionario de datos o La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software DBMS
Auditoria Informática
Página 11
Instituto Tecnológico de Chetumal
Software de consolas o terminales maestras. Controles que incluye: o Los cambios realizados al software de consolas o terminales maestras deberán ser protegidas y controlados
Software de librerías. Controles que incluye: o Tiene la facilidad de compara dos versiones de programas en código fuente y reportar las diferencias o Deben limitarse el acceso a programas o datos almacenados por el software de librerías o Las versiones correctas de los programas de producción deben corresponder a los programas objetos
Software de utilerías. Controles que incluye: o Deberán restringirse el acceso a archivos de utilerías o Asegurar que únicamente personal autorizado tenga acceso a corre aplicaciones
Software de telecomunicaciones. Controles que incluye: o Controles de acceso a datos sensibles y recursos de la red o El acceso diario al sistema debe ser monitoreado y protegido
4.7 Controles para prevenir crímenes y fraudes informáticos
Fuente: http://www.monografias.com
Como hablamos de realizar la evaluación de la seguridad es importante también conocer cómo desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa."
Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad. Auditoria Informática
Página 12
Instituto Tecnológico de Chetumal Sistema Integral de Seguridad
Definir elementos administrativos
Definir políticas de seguridad
A nivel departamental
A nivel institucional
Organizar y dividir las responsabilidades
Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.)
Definir prácticas de seguridad para el personal:
Plan de emergencia ( plan de evacuación, uso de recursos de emergencia como extinguidores.
Números telefónicos de emergencia
Definir el tipo de pólizas de seguros
Definir elementos técnicos de procedimientos
Definir las necesidades de sistemas de seguridad para:
Hardware y software
Flujo de energía
Cableados locales y externos
Aplicación de los sistemas de seguridad incluyendo datos y archivos
Planificación de los papeles de los auditores internos y externos
Planificación de programas de desastre y sus pruebas (simulación)
Planificación de equipos de contingencia con carácter periódico
Control de desechos de los nodos importantes del sistema:
Política de destrucción de basura copias, fotocopias, etc.
Etapas para Implementar un Sistema de Seguridad
Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos:
Auditoria Informática
Página 13
Instituto Tecnológico de Chetumal
Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.
Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos, y ambientales.
Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:
Plan de Seguridad Ideal (o Normativo)
Un plan de seguridad para un sistema de seguridad integral debe contemplar:
El plan de seguridad debe asegurar la integridad y exactitud de los datos
Debe permitir identificar la información que es confidencial
Debe contemplar áreas de uso exclusivo
Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles
Debe asegurar la capacidad de la organización para sobrevivir accidentes
Debe proteger a los empleados contra tentaciones o sospechas innecesarias
Debe contemplar la administración contra acusaciones por imprudencia
4.8 Plan de contingencia, seguros, procedimiento de recuperación de desastres Fuente: Echenique García, José Antonio, Auditoría en Informática. Mcgraw-Hill, México, 2003. Plan de contingencias
El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la organización de requerimientos para su recuperación ante desastres.
Auditoria Informática
Página 14
Instituto Tecnológico de Chetumal La metodología tiene como finalidad conducir de la manera más efectiva un plan de recuperación ante una contingencia sufrida por la organización.
El plan de contingencia es definido como: la identificación y protección de los procesos críticos de la organización y los recursos requeridos para mantener un aceptable nivel de transacciones y de ejecución, protegiendo estos recursos y preparando procedimientos para asegurar la sobrevivencia de la organización en caso de desastre
Entre los objetivos del plan de contingencia se encuentran: •
Minimizar el impacto del desastre en la organización.
•
Establecer tareas para evaluar los procesos indispensables de la organización.
•
Evaluar los procesos de la organización, con el apoyo y autorización respectivos a través de una buena metodología.
•
Determinar el costo del plan de recuperación, incluyendo la capacitación y la organización para restablecer los procesos críticos de la organización cuando ocurra una interrupción de las operaciones.
Seguridad contara desastres provocada por agua
Los centros de cómputo no deben colocarse en sótanos o en áreas de planta baja, sino de preferencia en las partes altas de una estructura de varios pisos aunque hay que cuidar que en zonas sísmicas no queden en lugares donde o peso ocasionado por equipos o papel pueda provocar problemas.
Se debe evaluar la mejor opción, dependiendo de la seguridad de acceso al centro de cómputo, cuando en la zona existen problemas de inundaciones o son sísmicas. En caso de ser zona de inundaciones o con problemas de drenaje la mejor opción es colocar el centro de cómputo en áreas donde el riesgo de inundación no sea evidente. Auditoria Informática
Página 15
Instituto Tecnológico de Chetumal Algunas causas de esto pueden ser la ruptura de cañerías o el bloqueo del drenaje, por lo tanto, la ubicación de las cañerías en un centro de cómputo es una decisión importante, así como considerar el nivel del manto freático.
Debe considerarse el riesgo que representa el drenaje cuando el centro de cómputo se localiza en un sótano. Deben instalarse, si es el caso, detectores de agua o inundación, así como bombas de emergencia para resolver inundaciones inesperadas.
Otro de los cuidados que se deben tener para evitar daños por agua es poseer aspersores contra incendio especiales que no sean de agua.
Seguridad de autorización de acceso
Es importante asegurarse que los controles de acceso sean estrictos durante todo el día, y que éstos incluyan a todo el personal de la organización, en especial durante los descansos y cambios de turno.
El personal de informática, así como cualquier otro ajeno a la instalación, se debe identificar antes de entrar a ésta. El riesgo que proviene de alguien de la organización es tan grande como el de cualquier otro visitante. Solamente el personal autorizado por medio de una llave de acceso o por la gerencia debe ingresar a dichas instalaciones.
En los centros de cómputo se pueden utilizar los siguientes recursos:
Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe ser difícil de duplicar.
Puerta de combinación. En este sistema se usa una combinación de números para permitir el acceso.
Puerta electrónica. El sistema más común es el que usa una tarjeta de plástico magnética como llave de entrada.
Auditoria Informática
Página 16
Instituto Tecnológico de Chetumal
Puertas sensoriales. Son activadas por los propios individuos con alguna parte de su cuerpo, como puede ser la huella dactilar, voz, retina, geometría de la mano o bien por la firma.
Registros de entrada. Todos los visitantes deben firmar el registro de visitantes indicando su nombre, su compañía, la razón para la visita, la persona a la que visita.
Videocámaras. Éstas deben ser colocadas en puntos estratégicos para que se pueda monitorear el centro
Escolta controladora para el acceso de visitantes. Todos los visitantes deben ser acompañados por un empleado responsable
Puertas dobles. Este equipo es recomendable para lugares de alta seguridad: se trata de dos puertas, donde la segunda sólo se pueda abrir cuando la primera está cerrada.
Alarmas. Todas las áreas deben estar protegidas contra robo o accesos físicos no autorizados. Las alarmas contra robo deben ser usadas hasta donde sea posible en forma discreta, de manera que no se atraiga la atención hacia este dispositivo de alta seguridad
Seguros
Los seguros de los equipos en algunas ocasiones se dejan en segundo término, aunque son de gran importancia. Se tiene poco conocimiento de los riesgos que entraña la computación, ya que en ocasiones el riesgo no es claro para las compañías de seguros, debido a lo nuevo de la herramienta, a la poca experiencia existente sobre desastres y al rápido avance de la tecnología.
Como ejemplo de lo anterior tenemos las pólizas de seguros contra desastres, ya que algunos conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual hace que se duplique el seguro, o bien que sobrevengan desastres que no son normales en cualquier otro tipo de ambiente.
Auditoria Informática
Página 17
Instituto Tecnológico de Chetumal El seguro debe cubrir todo el equipo y su instalación, por lo que es probable que una sola póliza no pueda cubrir todo el equipo con las diferentes características (existe equipo que puede ser transportado, como computadoras personales, y otras que no se pueden mover, como unidades de disco duro), por lo que tal vez convenga tener dos o más pólizas por separado, cada una con las especificaciones necesarias.
Como ejemplo y en forma genérica, por lo común un seguro de equipo de cómputo considera lo siguiente: •
Bienes que se pueden amparar.
•
Riesgos cubiertos.
•
Riesgos excluidos
•
Exclusiones
•
Suma asegurada.
•
Primas, cuotas y deducibles.
•
Indemnización en caso de siniestro.
4.9 Técnicas y herramientas relacionadas con la seguridad física y del personal Fuente: Echenique García, José Antonio, Auditoría en Informática. Mcgraw-Hill, México, 2003.
Protección a los procedimientos de procesamiento y los equipos contra las intervenciones exteriores:
Sólo se debe permitir al personal autorizado que maneje los equipos de procesamiento.
Sólo se permitirá la entrada al personal autorizado y competente
Seleccionar al personal mediante la aplicación de exámenes integrales: médico, psicológico, aptitudes, etc.
Contratar personal que viva en zonas cercanas a la empresa.
Auditoria Informática
Página 18
Instituto Tecnológico de Chetumal
Acondicionar los locales, de acuerdo con las normas de seguridad.
Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la manera de evitarlos.
Practicar con periodicidad exámenes médicos al personal
Sostener pláticas informales, directas e individuales con el personal.
Instalar carteles y propaganda mural referentes a la seguridad.
Elaborar estadísticas sobre riesgos ocurridos y derivar de ellas las medidas concretas adoptables para evitar su repetición.
Enterar al personal sobre dichas estadísticas y las medidas adoptadas.
Proponer otras actividades que se consideren necesarias.
4.10 Técnicas y herramientas relacionadas con la seguridad de los datos y software de aplicación Fuente:http://www.mitecnologico.com/Main/Tacnic asYHerramientasRelacionadasConSeguridadDeD atosYSoftwareDeAplicacion.
Protección de los registros y de los archivos
Formas en que se pueden perder los archivos: o Su presencia en un ambiente destructivo. o
Manejo indebido por parte del operador.
o Mal funcionamiento de la máquina.
Plan de preservación o Documentos fuente: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado. o Archivo de discos: Una característica del archivo de discos es que el
registro
anterior
es
destruido,
no
produce
una
copia
automáticamente una copia en duplicado. o Vaciado a otros medios: Esto puede ser vaciado a otros discos, o a papel de impresión. Auditoria Informática
Página 19
Instituto Tecnológico de Chetumal
Objetivos de la auditoría del software de aplicación o
Verificar la presencia de procedimientos y controles. Para satisfacer: La instalación del software La operación y seguridad del software La administración del software
Detectar el grado de confiabilidad. o Grado de confianza, satisfacción y desempeño o Investigar si existen políticas con relación al software o Detectar si existen controles de seguridad o Verificar que sea software legalizado o Actualización del software de aplicación
Tipos de controles. o Control de distribución. o Validación de datos. o Totales de control. o Control de secuencia. o Pruebas de consistencia y verosimilitud. o Dígito de control. o Control de distribución
Auditoria Informática
Página 20
Instituto Tecnológico de Chetumal
CONCLUSIÓN Al concluir esta investigación se comprendió cómo funciona la evaluación de la seguridad y los puntos que abarca este tema, así también como lo que es auditor deben hacer en cada caso.
Se profundizo sobre cuál es la información que el auditor requiere para realizar este trabajo y con qué técnicas y herramientas la organización protege su información, que controles se realizan al evaluar la seguridad del software de aplicación, y los generales.
Al igual se menciona como se realiza la seguridad del personal y que usuarios tiene más permisos que otros para manipular la información, así como la seguridad contra desastres y los seguros de los equipos en caso de un desastre natural.
Auditoria Informática
Página 21
Instituto Tecnológico de Chetumal
BIBLIOGRAFÍA www.mitecnologico.com/Main/TacnicasYHerramientasRelacionadasConS eguridadDeDatosYSoftwareDeAplicacion. Echenique García, José Antonio, Auditoría en Informática. Mcgraw-Hill, México, 2003. http://www.gestiopolis.com/administracionestrategia/estrategia/seguridad-y-controles-en-la-interconexion-deredes.htm.
Auditoria Informática
Página 22
View more...
Comments