1
Agenda
1. Introducción a la auditoría informática1.1 Historia de la informática
2. Conceptos de auditoría informática 2.1 Marco teórico2.2 ¿Que es informática?2.3 ¿Para que sirve la informática?2.4 Definición de auditoría informática2.5 Objetivos de la auditoría informática2.6 Definición de estándar y calidad.
3. Tipos de auditoría3.1 Auditoría de la gestión3.2 Auditoría legal del reglamento de protección de datos3.3 Auditoría de desarrollo3.4 Auditoría de la base de datos3.5 Auditoría de la seguridad3.6 Auditoría de la seguridad física 3.7 Auditoría de la seguridad lógica 3.8 Auditoría de mantenimiento3.9 auditoría de las comunicaciones y redes
Agenda
4. Auditoría de desarrollo4.1 Definición4.2 Objetivos de la auditoría de desarrollo4.3 Importancia de la auditoría de desarrollo.4.4 Planteamiento y metodología
5. Auditoría de base de datos5.1 Definición5.2 Importancia de la auditoría en base de datos.5.3 Objetivos de la auditoría de bases de datos.5.4 Metodologías.5.5 Auditoría en el ciclo de vida de una base de datos.5.6 Herramientas de auditoría y control interno
6. Auditoría de mantenimiento6.1 Definición6.2 Objetivos6.3 Tipos de mantenimiento6.4 Aspectos claves del mantenimiento.6.5 Análisis de los medios técnicos.6.6 Informe final.
Agenda
7. Auditoría física 7.1 Definición7.2 Objetivos de la auditoría física 7.3 Medidas a preparar según el momento del fallo7.4 Áreas de interés para la auditoría7.5 Evaluación de riesgos y fuentes a utilizar7.6 Fases de la auditoría
8. Auditoría de sistemas8.1 Definición8.2 Objetivos de la auditoría de sistemas.8.3 Justificación para efectuar una auditoría de sistemas.8.4 Perfil del auditor de sistemas8.5 Controles.8.6 Fases de la auditoría
Agenda
9. Auditoría de las comunicaciones y redes9.1 Definición9.2 Objetivos de la auditoría9.3 Auditoría de la red física 9.4 Auditoría en las comunicaciones9.5 Evaluación de la red lógica9.6 Fases de la auditoría
10. Auditoría de seguridad10.1 Auditoría de la seguridad física 10.2 Auditoría de la seguridad lógica10.3 Estándares base para auditorías de seguridad informática.10.4 Fases de la auditoría de seguridad informática10.5 Controles.10.6 Fases de la auditoría
1. Introducción
Tema I
Tecnologías de la Información
Te parece familiar
Uso de Tecnologías
Introducción
Evolución
Dispositivos mecánicos paracontar se remonta a lascivilizaciones Griega yRomana
Pascalina 1623
Primera Computadora mecánica 1823
creada por Charles Babbage gobierno Británico la elaboración de las tablas matemáticas era un proceso tedioso y propenso a errores.
Creada para efectuar sumas repetidas y copias, un especie de impresora
Introducción
1880 Hollerith Agilizar el proceso de censo
Herman Hollerith
Introducción
1940-1960Primer Generación
Introducción
Multiplicación 6 segundos
División 12 segundos
1944 Mark I Primer ordenador electromecánico financiado por IBM
17 M
3
M
Howard H. Aiken
Introducción
1947 ENIAC
Primer computadora con almacenamiento de
memoria electrónica y digital la Mark n una semana la Eniac en una
hora
150 mts
7257 kg
Introducción
Todas basadas en la utilización de válvulas de vacío, que suponía un alto consumo de electricidad y propensas a descomponerse constantemente
Levantar censos Hacer cálculos matemáticos
Para hacer calculo Precisos y rápidos
Introducción
1960-1965Segunda Generación
Introducción
VENTAJAS
1.-Aumento de la capacidad de memoria.2.-Reducen el tamaño y3.-Reducen el consumo eléctrico de las máquinas y4.- Aumentan su fiabilidad
Posibilidad de transmitir ono transmitir electricidad,hizo a las computadoras,rápidas, pequeñas ybaratas.
Válvula de vacío Transistores
Cambio
Introducción
El primer ordenador con transistores, el ATLAS 1962, se
construyó en 1956.
Introducción
1960 invención del michochip
Introducción
1965-1975Tercera Generación
Introducción
1.-Aparición de los circuitos integrados (chips) . 2.-Miniaturización. 3.-Aumento de la velocidad, 4.-Mayor número de programas y lenguajes de programación.
El primer aparato basado totalmente en circuitos integrados es el IBM Serie 360.
Introducción
1975-1985Cuarta Generación
Introducción
Microprocesadores
Introducción
Se funda Apple
Basada en el microprocesador Intel 8088,tenia una característica muy interesante: sunuevo sistema operativo, MS-DOS, que hacíaque el uso de la computadora fuera muchomás fácil.
Aparición de computadoras personales
Lanza al mercado su primera computadora
Introducción
¿Informática?
Introducción
La informática es una ciencia
Tratamientoautomáticodeinformación
Mediante un
ordenador
Facilitar tareas
Datos
5x5Ordenador
Datos
transformados
=25
Introducción
Pensamientos abstractos Pensamientos concretos
Informática
Introducción
Elaborar documentos
Crear efectos visuales
Estadística Jugar
Folletos y libros
Correo electrónico
Controlar procesos
industriales
Información contable
Escuchar música
Introducción
Competencia Profesional
Adecuación de los
trabajadores al Cambio de
tecnología
TIC ´S
Introducción
Impacto de TIC’S
Sector Social
Sector Educativo
Sector Económico
Sector Político
Introducción
Comunicación a distancia.
Información abundante y
variada
Introducción
Impulso de negocios y actividad empresarial
Introducción
Campos que utilizan y aplican la informática, ésta se encuentra en la medicina, en la ingeniería, en las comunicaciones, en las industrias, en las empresas, en el mundo artístico, en el ámbito investigativo y científico, en los hogares, etc.
Introducción
En el aspecto social:
Se ha creado una polémica que gira principalmenteen torno a la comunicación a través de dispositivoselectrónicos que, aunque ha facilitado el intercambiode información entre individuos ubicados a largasdistancias, ha llegado a desplazar en cierta forma lasrelaciones sociales "cara a cara".
Introducción
En el aspecto de la educación:
Las TIC han revolucionado el método de aprendizaje,complementando la educación impartida a través delibros y revistas escolares, facilitando el acceso de losestudiantes a una mayor masa de información yfomentando la creatividad y la iniciativa de los mismos.
puede ser objeto de distracción para losestudiantes.
Usuarios de las TI
El término “usuario” es aquel que define a los
individuos que se mantienen en contacto con
las TIC.
Sector laboral.
Conocer y manejar TIC´s son parte de lascompetencias que son tratadas comoindicadores
Introducción
Clasificación de TIC según su enfoque.
Equipos: Se refiere a todos los dispositivos electrónicos que se pueden conectar por red.
Servicios: Se refiere a las funcionalidades que brinda una compañía para que el rendimiento de un equipo pueda ser explotado.
Introducción
¿Qué es el Internet?
Es un conjunto de ordenadores o dispositivosinterconectados de manera global que permitecompartir información y recursos con los demás.
Introducción
¿Cómo se creo el Internet?
Introducción
¿Que servicios ofrece el internet?
World Wide Web (www) Correo electrónico Conexión remota (telnet, ssh) Transferencia de ficheros (FTP) Televisión, radio y telefonía por internet Migrar Infraestructura física a la nube.
Introducción
¿Qué es el Internet de las cosas?
Se refiere a los avances de las TIC aplicables a cualquier aparato físico endonde se pueda implementar automatización y conexión mediante unared
Introducción
Para que pueda existir el IOT debe existir un conjunto de tres factoresque necesitan ser combinados para que una aplicación funcionedentro del concepto de Internet de las Cosas.
• Los dispositivos • Control • Red
Introducción
Autos Tesla Casas inteligentes Control desde aplicaciones móviles Refrigeradores inteligentes Pólizas de seguros Pulseras inteligentes
Aplicaciones del internet de las cosas
Fases del desarrollo del internet de las cosas
Medición.
Control
Optimización
Autonomía
Introducción
2. Conceptos de Auditoría
Informática
Tema 2
2. Conceptos de Auditoría Informática
• Marco teórico
Bit Dominio de colisión Ancho de banda
NIC Red LAN
WAN Router Firewall
Switch DMZ VPN
Dirección IP Dirección MAC Software
Hardware DNS Servidor.
Base de datos Gestor de B.D WIFI
Backup Transacciones SPAM
Hacking Disco duro Debug
2. Conceptos de Auditoría Informática
Informática es el conjunto de conocimientos científicos y técnicas que estudia eltratamiento automático de información utilizando dispositivos electrónicos y sistemascomputacionales. Incluye instrucciones de ciencias de la información interacciónpersona-computador, análisis y diseño de sistemas de información estructura de lastelecomunicaciones, arquitectura y gestión de la información.
¿Que es la Informática?
2. Conceptos de Auditoría Informática
La informática sirve para realizar tareas y análisis en base a los datos almacenados, loscuales son procesados para obtener reportes que sirvan para lo toma de decisiones,además de elaborar documentos, enviar y/o recibir correo electrónico (email),realizar gráficos estadísticos, manejar la información de una empresa, controlarprocesos industriales, etc. Siendo su objetivo principal automatizar todo tipo deinformación, para poder automatizar tareas, aumentar la productividad y eliminarerrores humanos.
¿Para que sirve la informática?
2. Conceptos de Auditoría Informática
La auditoría informática es el proceso de recoger, agrupar evaluar evidencias paradeterminar si un sistema de información salvaguarda los activos, mantiene laintegridad de los datos, lleva a cabo eficazmente los fines de la organización y utilizaeficientemente los recursos así como verificar que se cumple con las leyes yregulaciones establecidas.
Definición de Auditoría Informática.
2. Conceptos de Auditoría Informática
Es un proceso sistemático.
Variabilidad en los
procedimientos.
Objetividad en la
evaluación.
Aplicable a diferentes
rubros.
Independencia neutral.
Puntos importantes a considerar.
2. Conceptos de Auditoría Informática
El auditor sólo puede emitir un juicio global o
parcial basado en hechos y situaciones
incontrovertibles.
Realizar una evaluación y un informe de los acontecimientos
revisados.
Acatar y conocer losprincipios establecidos, enocasiones son algunasleyes y otras disciplinasestablecidas.
Puntos importantes a desempeñar por el auditor.
2. Conceptos de Auditoría Informática
Optimizar los recursos
disponibles para tener un mejor
aprovechamiento de los equipos.
Analizar las posibilidades
futuras de acuerdo con la estrategia de la empresa.
Establecer una política de
mantenimiento informático y el
análisis de la normativa general de la institución.
Incrementar la satisfacción de los
usuarios de los sistemas
computarizados
Objetivos de la auditoría informática.
2. Conceptos de Auditoría Informática
Establecimiento de una política de seguridad online. Página web,
correos electrónicos, servidores, etc.
Estudiar la composición de la red informática de la empresa y monitorear que la comunicación esta
en optimo funcionamiento.
Crear matriz de existencias de riesgos con su respectiva
ponderación.
Objetivos de la auditoría informática.
2. Conceptos de Auditoría Informática
Conocimiento del sistema
Análisis de riesgos y
amenazas
Análisis y evaluación de
controles
Informe de auditoría
Seguimiento de las
recomendaciones.
Fases de una auditoría Informática
¿Qué es un estándar?
Un estándar es una norma o patrón aplicable quepermite una mejora en cualquier proceso odesarrollo.
• .
¿Qué es calidad?
Atributo de que permite a un objeto o entidadsobresalir del resto.
• .
2. Conceptos de Auditoría Informática
3. Tipos de auditoría
Tema 3.
3. Tipos de Auditoría
Por el sujeto que laefectúa:
Auditoría Interna.
Auditoría Externa.
Por su contenido y fines:
Auditoría de Gestión.
Auditoría Organizativa.
Auditoría Operacional.
Auditoría Financiera.
Auditoría Contable.
Auditoría Informática.
Por su amplitud:
Auditoría total.
Auditoría parcial.
Por su frecuencia:
Auditoría permanente.
Auditoría ocasional.
Factores diferenciadores entre Auditoría interna y externa
Designación.
Profesional que la ejecuta.
Forma de contratación.
Destino del informe, Periodicidad y costes.
3. Tipos de Auditoría
3. Tipos de Auditoría
Auditoría Informática
Auditoría de Base de
datosAuditoría de
Mantenimiento
Auditoría de la Gestión del C.D
Auditoría Lógica Auditoría
de Desarrollo
Auditoría Física
Auditoría de Comunicaciones y
redes
Auditoría de Protección de
datos
4. Auditoría del Desarrollo de
Sistemas
Tema 4.
Desarrollo de software.
• Un proceso de desarrollo de software es la descripción de unasecuencia de actividades que deben ser seguida por unequipo de trabajadores (programadores ) para generar unconjunto coherente de productos (aplicaciones)
Cuando se hace referencia al desarrollo de software, se estáhablando de la elaboración de un programa informático elcual tiene por objetivo cumplir con una función establecida.
63
4. Auditoría del Desarrollo.
Auditoría de la organización y gestión del área dedesarrollo.
• .
Auditoría de proyectos de desarrollo de sistemas deinformación.
• .
Esta auditoría se desglosa en dos grandes apartados:
4. Auditoría del Desarrollo.
.• Comparar las actividades o tareas ejecutadas con las
actividades proyectadas.
.
• Realizar los ajustes necesarios, encontrar errores,pérdidas o modificaciones no autorizadas de lainformación en la aplicación.
.
• Retro-alimentar el sistema mediante el análisis.
Objetivos de la Auditoría de Desarrollo.
Realizar controles internos sobre:
La operación del sistema.
Los procedimientos de entrada de datos, el procesamiento de
información y la emisión de resultados.
La seguridad del área de
desarrollo.
El análisis, desarrollo e implementación de la
aplicación.
Recomendaciones para la auditoría de desarrollo.
4. Auditoría del Desarrollo.
Un "Objetivo de Control", es unadefinición del resultado o propósito quese desea alcanzar implementandoprocedimientos de control específicosdentro de una actividad de tecnologíainformática y sistemas de información.
Además, se aportan una serie depruebas de cumplimiento quepermitan la comprobación de laexistencia y correcta aplicación dedichos controles.
4. Auditoría del Desarrollo.
Controles
Algunos ejemplos de controles son. Estimar tiempos en cada fase del proyecto. Debe existir una orden de aprobación del proyecto Debe asignarse un responsable o director del proyecto. Elegir herramientas de desarrollo. Debe existir documentación de toda la metodología. Participación de los responsables de las áreas afectadas.
4. Auditoría del Desarrollo.
Aceptación del sistema por los usuarios antes deponerse en explotación.
Retirar sistema antiguo y migrar bases de datos. Se debe supervisar el trabajo de los usuarios con el
nuevo sistema. Poner en marcha el mecanismo de mantenimiento. Identificar los requerimientos de sistema.
4. Auditoría del Desarrollo.
Controlar que se sigan las etapas del ciclo de vida. Debe existir un diccionario de datos o repositorio. Debe de existir un manual técnico y de usuario. Se debe programar, probar documentar cada
componente.
4. Auditoría del Desarrollo.
4. Auditoría del Desarrollo.
• En principio, el ciclo de vida de un proyecto softwareincluye todas las acciones que se realizan sobre éldesde que se especifican las características que debetener, hasta que se mantiene en operación. A vecesse incluyen en el ciclo de vida las modificaciones quepueden realizarse al sistema para adaptarse a nuevasespecificaciones
71
4. Auditoría del Desarrollo.
• Modelo en cascada
• El modelo de desarrollo en cascada. Uno de estos modelos del ciclo de vida, quizás el más ampliamente utilizado, es el del desarrollo en cascada. En él, cada etapa deja el camino preparado para la siguiente, de forma que esta última no debe comenzar hasta que no ha acabado aquélla.
72
73
4. Auditoría del Desarrollo.
Scrum es un proceso para el desarrollo de softwareque aplica un conjunto de buenas prácticas paratrabajar colaborativamente por medio de iteracioneslogrando obtener el mejor resultado y valor alproyecto. .
Metodología SCRUM
4. Auditoría del Desarrollo.
4. Auditoría del Desarrollo.
Scrum.
• Desarrollada por Ken Schwaber, Jeff Sutherland yMike Beedle, define un marco para la gestión deproyectos con un rápido cambio de requisitos,sus características son:
• El Desarrollo de Software se realiza medianteiteraciones, denominados Springs, que tienenuna duración de 30 días que debe presentarse alcliente, se realizan reuniones diarias de 15minutos del equipo de desarrollo paracoordinación e integración
75
Se puede utilizar la metodología Scrum cuando: No se entrega al cliente lo que necesita. Las entregas se alargan demasiado. Los costes se disparan. La calidad no es aceptable. Reaccionar ante la competencia. La moral de los equipos esta baja y la rotación es alta. Se requiere utilizar un proceso especializado en el
desarrollo.
4. Auditoría del Desarrollo.
4. Auditoría del Desarrollo.
Metodología CMM
El modelo CMM es una metodología extremadamente útilpara una organización dedicada al desarrollo que permiteevaluarse y establecer prioridades para mejorar susprocesos de desarrollo y consecuentemente aumentar lacalidad del mismo software.
4. Auditoría del Desarrollo.
• CMM se puede utilizar para evaluar a unaorganización con una escala de cinco niveles demadurez de procesos. Cada nivel de laorganización de acuerdo a su estandarización delos procesos en la materia que se evalúa. Lostemas pueden ser tan diversas como la ingenieríade software, ingeniería de sistemas, gestión deproyectos, gestión de riesgos, sistema deadquisición de tecnología de la información (TI) yde gestión de personal
78
4. Auditoría del Desarrollo.
4. Auditoría del Desarrollo.
¿Qué es la madurez de un proceso de software?Es el punto hasta el cual un determinado proceso esexplícitamente definido, administrado, medido, controlado yefectivo.
La estructura de más alto nivel del CMM son los cinco niveles demadurez que permitirá tener una plataforma bien definidadesde la cual podremos obtener un proceso definido,administrado, medido, controlado y efectivo.
Cada uno de estos niveles nos indicara que tan capaz es unproceso.
Diagramas de Flujo y Pseudocódigo
4. Auditoría del Desarrollo.
4. Auditoría del Desarrollo.
.• Es la representación gráfica de los pasos que deben
seguirse para resolver un problema.
.
• El traducir una descripción narrada a diagrama de flujoagrega claridad y precisión a la descripción de una tarea.
.
• Además, al elaborar el diagrama de flujo, se descubrensituaciones que no habían sido consideradas.
Diagrama de flujo
4. Auditoría del Desarrollo.
.
• Debe estar adecuada a ciertos estándares, con el fin deque sea entendida por cualquier persona dedicada alcampo de la computación.
.
• En los diagramas de flujo se utilizan figuras geométricasconectadas por líneas.
.
• Cada una de las figuras representa una etapa en lasolución del problema; dentro de ellas se anotanindicaciones.
Diagrama de flujo
4. Auditoría del Desarrollo.
.
• En la actualidad se emplean poco, pero resultan muyútiles cuando se comienza en el estudio de laprogramación.
.
• El problema con los diagramas de flujo es que a medidaque crece la complejidad, también crece el detalle de losdibujos.
.
• Esto llegaba a convertirlos en figuras fraccionadas (puesde otro modo no cabrían en la hoja), y difíciles de seguiry entender.
Diagrama de flujo (Desventajas)
4. Auditoría del Desarrollo.
. • Debe tener principio y fin
.
• Las líneas de conexión o de flujo deben ser siemprerectas, si es posible verticales y horizontal nuncacruzadas o inclinadas; para conseguir lo anterior esnecesario apoyarse en conectores.
.
• Las líneas que enlazan los símbolos entre sí deben estartodas conectadas.
Reglas básicas para la construcción de Diagramas de flujo
4. Auditoría del Desarrollo.
.
• Se deben dibujar todos los símbolos de modo que sepueda seguir el proceso visualmente de arriba haciaabajo (diseño de top-down) y de izquierda a derecha.
.• Realizar un gráfico claro y equilibrado
.
• Evitar la terminología de un lenguaje de programación omáquina.
Reglas básicas para la construcción de Diagramas de flujo
4. Auditoría del Desarrollo.
.
• Utilizar comentarios al margen (si es necesario) para queéste sea entendible por cualquier persona que loconsulte.
.
• A cada bloque o símbolo se accede por arriba y/o por laizquierda y se sale por abajo y/o por la derecha.
.
• Si el diagrama abarca más de una hoja es convenienteenumerarlo e identificar de donde viene y a donde sedirige.
Reglas básicas para la construcción de Diagramas de flujo
4. Auditoría del Desarrollo.
La auditoría del desarrollo trata de verificar la existencia yaplicación de procedimientos de control adecuados quepermitan garantizar que el desarrollo de sistemas deinformación sea llevado a cabo según estos principios deingeniería, o por el contrario, determinar las deficienciasexistentes en este sentido.
4. Auditoría del Desarrollo.
INICIO O FIN DE PROCESO
Indica el inicio o el fin de un diagrama de flujo. Dentro de la figura se
debe escribir “inicio o fin” según sea el caso.
ACCIONES U OPERACIONES
Se utilizan para señalar las actividades, los pasos o
las instrucciones en forma secuencial.
ENTRADA DE DATOS
Representa la entrada y salida de datos en la
computadora
Diagramas de flujo
Gestión del área de
desarrolloAnálisis
4. Auditoría del Desarrollo.
LINEAS DE FLUJO
Indican el sentido o dirección que lleva el
diagrama de flujo desde su inicio hasta su fin.
DECISIÓN
Permite decidir entre 2 opciones o caminos a
seguir
CONECTOR
Indica la continuidad del diagrama de flujo en una
misma pagina. Dentro de la circunferencia se anota un
numero o letra
Diagramas de flujo
Gestión del área de
desarrolloAnálisis
4. Auditoría del Desarrollo.
SALIDA (IMPRESIÓN)
Indica un resultado mostrado como
consecuencia de proceso llevado a cabo
CICLO REPETITIVO
Indica la utilización de una estructura repetitiva
CONECTOR DE PÁGINA
Indica la continuidad del diagrama de flujo de una
página a otra. Se debe especificar con letra o
numero esta secuencia.
Diagramas de flujo
92
Accs
Accs.
Accs
AccsAccs
?
Secuencial Alternativa
Falso Verdadero
4. Auditoría del Desarrollo.
Tipos de diagramas de flujo
93
Accs
Accsx=x+1
Si x= 10
For
Cierto
FalsoÍndices
While
4. Auditoría del Desarrollo.
Tipos de diagramas de flujo
Ciclo de 1 a 10
x= 1
94
Accs
?
Repetido o Do While
Falso
Verdadero
4. Auditoría del Desarrollo.
Tipos de diagramas de flujo
Ejemplo de un diagrama de flujo:Problema: Elaborar un programa que calcule la sumatoria de dos números.
Inicio
a,b
C=a+b
X
C
X
Fin
4. Auditoría del Desarrollo.
96
Inicio
Leer variables, c1,c2,c3,Prom
Prom=(c1+c2+c3)/3
If(prom>=60)
Fin
Si No
Aprobado con prom
No aprobado
4. Auditoría del Desarrollo.
Ejercicio: Calcular el promedio de 3 calificaciones.
..
• Los algoritmos se deben escribir en un lenguaje que separece al lenguaje de la computadora
..
• Es decir es una imitación del código de las computadoras alque se le conoce pseudocódigo.
.
• Se concibió ya que el diagrama de flujo es lento de crear ydifícil de modificar.
.• Es fácil de utilizar ya que es similar al español o al ingles etc.
Pseudocódigo
4. Auditoría del Desarrollo.
.
• Requiere de ciertos símbolos privilegiados que ya tienensignificado establecido.
.• Dichos indicadores del pseudocódigo se les conoce como
palabras clave (keywords)
.
• Por ejemplo, la palabra “escribe” es una palabra claveque ya tiene significado predefinido a diferencia de lasvariables.
Pseudocódigo
4. Auditoría del Desarrollo.
Pseudocódigo en ingles
Begin
End
Read/input
Write
If____then
Else
For
While
Repeat
Until
Pseudocódigo en español
Inicio
Fin
Leer/entrada de datos
Imprimir/Salida de datos
Si_____entonces
Sino/Caso contrario
Desde
Mientras
Repetir
hasta
Pseudocódigo
4. Auditoría del Desarrollo.
Ejemplo en pseudocódigoProblema: Elaborar un programa que calcule la sumatoria de 2 números.
Programa suma dos númerosVariables N1, N2, S enterosINICIO
LEER N1LEER N2S=N1+N2ESCRIBIR S
FIN
DONDE:N1=Variable que recibe el primer numeroN2=Variable que recibe el segundo numeroA la variable S se le asigna la suma de los dos números
4. Auditoría del Desarrollo.
Inicio
a,b
S=a+b
X
C
X
Fin
4. Auditoría del Desarrollo.
Se desea obtener una tabla con las depreciacionesacumuladas y los valores reales de cada año de un automóvilcomprado en $180,000 pesos en el año 1992, durante losseis años siguientes; suponiendo un valor de recuperación de$12,000. Realizar el análisis del problema, conociendo laformula de la depreciación anual constante D para cada añode vida útil.
D= costo-valor de recuperaciónvida útil
4. Auditoría del Desarrollo.
Ejercicio.
Costo originalEntradas Vida útil
Valor de recuperación
Depreciación en cada añoProcesos Calculo de la depreciación acumulada
Calculo del valor del automóvil en cada año
Depreciación anual por añoSalidas Depreciación acumulada en cada año
Valor del automóvil en cada año
4. Auditoría del Desarrollo.
Tema 5.Inicio
Costo original, vida útil, valor de recuperación, año
Valor actual=costoDepreciación= (costo-valor de
recuperación)/vida útilAcumulado=0
Mientras (Año<=vida útil)
Acumulado=acumulado + depreciaciónValor actual = valor actual-depreciación
Imprimir valores Año=año+1
Fin
Diagrama de flujo
Calculo de depreciaciónIntroducir Costo
Vida útilValor de recuperación
Imprimir cabeceras de tabla Establecer el valor inicial del añoCalcular depreciaciónMientras valor año <= vida útil
Calcular depreciación acumuladaCalcular valor actualImprimir una línea de la tabla con los valores calculadosIncrementar el valor del año en uno.
Fin de mientras
4. Auditoría del Desarrollo.
Pseudocodigo
Año Depreciación Depreciación acumulada
Valor anual
1992 $28,000 $28,000 $152,000
1993 $28,000 $56,000 $124,000
1994 $28,000 $84,000 $96,000
1995 $28,000 $112,000 $68,000
1996 $28,000 $140,000 $40,000
1997 $28,000 $168,000 $12,000
4. Auditoría del Desarrollo.
4. Auditoría del Desarrollo.
107
Lenguajes de Programación.
4. Auditoría del Desarrollo.
108
• Cualquier departamento o área de una organización es susceptible deser auditado y presenta ciertas circunstancias que hacen importante elárea de desarrollo y por tanto su auditoría.
• Los avances en tecnologías de las computadoras han hecho queactualmente el factor de éxito de la informática sea la mejora de lacalidad del Software.
• El gasto destinado al Software es cada vez superior al que se dedica a hardware.
4. Auditoría del Desarrollo.
Importancia de la auditoría de desarrollo.
• Crisis del Software, incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran
número de organizaciones.
• Ejemplo Rotación de Personal
• El Software como producto es difícil de validar. Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costos de mantenimiento, el fracasos en proyectos de desarrollo denota la inexistencia o mal funcionamiento de los controles
4. Auditoría del Desarrollo.
Importancia de la auditoría de desarrollo.
4. Auditoría del Desarrollo.
• Los datos del Government Accounting Office Report(EEUU) muestran este hecho:
• Un 1,5 % se usó tal y como se entregó
• Un 3,0 % se usó después de algunos cambios
• Un 19,5 % se usó y luego se abandono o se rehizo
• Un 47 % se entregó pero nunca se usó
• Un 29 % se pagó pero nunca se entregó
111
4. Auditoría del Desarrollo.
112
5. Auditoría de las Bases de Datos
Tema 5.
¿Qué es una base de datos?Se define una base de datos como unaconjunto de datos organizados yrelacionados entre sí, los cuales sonrecolectados y explotados por lossistemas de información de unaorganización.
5. Auditoría de las Bases de datos.
115
5. Auditoría de las Bases de datos.
Es el proceso que permite medir,asegurar, demostrar, monitorear yregistrar los accesos a la informaciónalmacenada en las bases de datosincluyendo la capacidad de determinar:
*Quien accede a los datos.
*Cuando se accedió a los datos.
*Desde que dispositivo o aplicación.
*Desde que ubicación en la red.
*Cual fue la sentencia SQL ejecutada.
*Cual fue el efecto del acceso a la base dedatos.
5. Auditoría de las Bases de datos.
Auditoría de las Bases de datos
¿Por qué es importante?
Toda información financiera reside en bases de datos y deben existircontroles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la información
La información confidencial de los clientes, son responsabilidad de lasorganizaciones.
5. Auditoría de las Bases de datos.
5. Auditoría de las Bases de datos.
Postgre SQL
Un sistema gestor (SGBD) de base es una plataforma que sirve como interfaz y permite lamanipulación de los datos garantizando así su integridad y la seguridad de la información.
119
5. Auditoría de las Bases de datos.
Modelo de base de datos
5. Auditoría de las Bases de datos.
120
Vistas
Características de un SGBD
Integridad Respaldo y recuperación
Control de concurrencia
Redundancia mínima
Consistencia
Seguridad
Abstracción de la información
Independencia
5. Auditoría de las Bases de datos.
122
5. Auditoría de las Bases de datos.
5. Auditoría de las Bases de datos.
123
Data Definition Language
Data Manipulation Language
SQL Structured Query Language
Monitorear los permisos de acceso a usuarios y el registro de las actividades o transacciones así como revisar los procedimientos de respaldo y recuperación de la
base de datos.
Objetivo de la Auditoría de la auditoría de las bases de datos.
5. Auditoría de las Bases de datos.
Auditoría de transacciones. (RAT)
Tipos de Auditoría
Auditoría de actividades. (RA)
5. Auditoría de las Bases de datos.
126
Auditoria de Actividades: consiste en controlar lasactividades que realizan los usuarios en los objetos de labase de datos y entenderemos como objetos todas lastablas, vistas, restricciones de integridad que los usuarioscrean en la base de datos.
Este proceso de monitoreo de las actividades de losusuarios permite encontrar posibles accesos a objetos noautorizados, conexiones en horas o días fuera de horariosnormales. Toda esta actividad se va almacenando en unatabla o en un archivo que llamaremos el registro deauditoría (RA)
5. Auditoría de las Bases de datos.
127
Auditoria de Transacciones: La auditoría detransacciones consiste en implementar una serie decontroles que permiten llevar una bitácora de todas lastransacciones que los usuarios realizan, pero a un nivel talque podamos establecer una historia de cómo seprodujeron los cambios. Al igual que en el tipo anterior, esnecesario crear un registro de auditoría al quellamaremos registro de auditoría de transacciones(RAT).
5. Auditoría de las Bases de datos.
Generalmente durante una auditoría se monitorea elcomportamiento de:
Las actividades y las transacciones efectuadas.
Las modificaciones a esquemas (sentencias DDL) CREATE, ALTER, DROP yTRUNCATE
Cambios en los datos (sentencias DML) SELECT, INSERT, UPDATE
128
Elementos a auditar.
Modificaciones de cuentas y privilegios.
5. Auditoría de las Bases de datos.
Estudio previo y plan de trabajo.
Concepción de la BD y la selección del hardware y software.
Diseño y carga.Explotación y
mantenimiento.
Revisión post-implementaci
ón.
Objetivos de control del ciclo de vida de una base de datos
5. Auditoría de las Bases de datos.
Sistemas gestores de base de datos. Monitor de transacciones. Diccionario de datos. Software de extracción de Datos Archivos Log y de Transacciones de la Base de datos
Herramientas de auditoría.
5. Auditoría de las Bases de datos.
¿Donde aplicar auditoría de las bases de datos?
5. Auditoría de las Bases de datos.
ORGANIZACIONES SECTOR PUBLICO
EMPRESAS SECTOR PRIVADO
6. Auditoría de Mantenimiento
Tema 6.
Definición. Es una importante revisión y análisis que facilita la mejora delos resultados de mantenimiento y proporciona continuidad enel trabajo colaborando en la toma de decisiones, gestión ycontrol del mantenimiento permitiendo que las organizacionesmantengan equipos e instalaciones en óptimo funcionamiento.
6. Auditoría de Mantenimiento.
3. Tipos de Auditoría
Colaborar en la toma de decisiones, gestión y
control del área
Ayudar en la corrección de los defectos presentados.
Verificar que el plan de
mantenimiento este bien
estructurado de acuerdo a
las necesidades de la
organización. .
Mantener un nivel de servicio
óptimo en los equipos de
trabajo.
Revisar los equipos a intervalos
programados antes de que
aparezca algún fallo.
Objetivos de la Auditoría de Mantenimiento.
El objetivo que se persigue al realizar una auditoríano es juzgar al responsable de mantenimiento nicuestionar su forma el trabajo del área, es parasaber en qué situación se encuentra dichodepartamento, en un momento determinado,identificar puntos de mejora y determinar quéacciones son necesarias para mejorar resultados.
• .
¿Por qué hacer una auditoría de mantenimiento?
6. Auditoría de Mantenimiento.
Tipos de Mantenimiento
Correctivo
Preventivo
Predictivo
En uso
De alta disponibilidad
6. Auditoría de Mantenimiento.
TPM es una metodología de mantenimiento cuyoobjetivo es eliminar las pérdidas en produccióndebidas al estado de los equipos, o en otras palabras,mantener los equipos en disposición para producir asu capacidad máxima productos de la calidadesperada.
Mantenimiento Productivo Total
6. Auditoría de Mantenimiento.
TPM • Mejora la calidad, equipos más precisos.
TPM • Mejora la productividad.
TPM • Mejora el servicio a los usuarios.
TPM • Da continuidad.
TPM • Mejora el uso y aprovechamiento de los equipos.
TPM • Reduce significativamente los gastos.
TPM • Descomposturas inesperadas.
Algunos beneficios al implementar TPM.
6. Auditoría de Mantenimiento.
Análisis de los medios técnicos. Herramientas de trabajo. Lugar de trabajo. Sistemas de comunicación. Plan de mantenimiento. Análisis del sistema de información. Análisis del stock de repuestos.
6. Auditoría de Mantenimiento.
7. Auditoría Física
Tema 7.
7. Auditoría Física.
Definición
La auditoría física permite conocer y evaluar el estadofísico tanto de las instalaciones como de los equipos, asícomo también elaborar planes para evitar fallos odisminuir su efecto en caso de que sucedan.
Seguridad Física podemosentender todos aquellosmecanismos destinados aproteger físicamentecualquier recurso del sistema
Estos recursos son desde unsimple teclado hasta una cintade backup con toda lainformación de nuestraentidad, pasando por lapropia CPU de la máquina, elcableado eléctrico o eledificio.
¿Qué es la seguridad física?
7. Auditoría Física.
Evaluar niveles de seguridad física en el hardware.
Analizar riesgos, amenazas y vulnerabilidades.
Analizar y revisar planes de contingencia.
Revisar la seguridad física en los sistemas mas importantes.
Aplicar soluciones concretas utilizando estándares establecidos.
Objetivos de la Auditoría Física
7. Auditoría Física.
Medidas según el momento del fallo. (Antes)
Es un conjunto de acciones utilizadas para evitar el fallo o, ensu caso, aminorar las consecuencias que de él se puedanderivar. Ubicación de edificios. Ubicación del CPD dentro del edificio. Potencia eléctrica. Sistema contra incendios.
7. Auditoría Física.
Medidas según el momento del fallo. (Durante)
Un plan de recuperación de desastres se constituye en el plande contingencia y debe asegurar los siguientes aspectos. Establecer un periodo crítico de recuperación. Determinar prioridad de procesos. Establecer objetivos de recuperación en un determinado
tiempo.
7. Auditoría Física.
Medidas según el momento del fallo. (Después)
Las aseguradoras vienen a compensar las pérdidas, gastos o responsabilidades una vez corregido el fallo. Centros de procesamiento de datos y equipamiento. Interrupción del negocio. Documentos o registros valiosos. Errores y omisiones. Cobertura de fidelidad.
7. Auditoría Física.
7. Auditoría Física
..• Políticas, normas y planes sobre seguridad.
..• Auditorías pasadas generales y parciales.
.• Contratos de seguros.
.• Actas e informes de especialistas en el ramo.
.• Planes de contingencia y matriz de riesgos.
.• Informes sobre accesos y visitas.
Evaluación de riesgos y fuentes a utilizar que debe estar accesibles.
Alcance de la
auditoría.
Adquisición de
información general
Planificación y Gestión
Ejecución de
auditoría
Resultados de las
pruebas
Conclusiones y comentarios
Borrador del
informe
Discusión con los responsables del
área
Informe final
Seguimiento de las
modificaciones
7. Auditoría Física
Fases de la auditoría
8. Auditoría de Sistemas
Tema 8.
Definición
La auditoría de sistemassupone la revisión yevaluación de los controles ysistemas de informática, asícomo su utilización, eficienciay seguridad en la empresa, lacual procesa la información.
8. Auditoría de Sistemas
Un sistema es módulo ordenado de elementos que se encuentran interrelacionados yque interactúan entre sí. El concepto se utiliza tanto para definir a un conjunto deconceptos como a objetos reales dotados de organización.
¿Que es un sistema?
8. Auditoría de Sistemas
8. Auditoría de Sistemas
..
• Mejorar la relación coste-beneficio de los sistemas deinformación.
..
• Incrementar la satisfacción y seguridad de los usuarios dedichos sistemas informáticos.
.• Garantizar la confidencialidad e integridad a través de
sistemas de seguridad y controles profesionales.
.• Minimizar la existencia de riesgos, tales como virus o hackers,
por ejemplo.
.
• Educar a los usuarios sobre el control de los sistemas deinformación
Objetivos de la auditoría de sistemas.
¿Por qué es importante la auditoría de sistemas?
La auditoría de sistemas es fundamental paragarantizar el desempeño y seguridad de lossistemas informáticos de una empresa, que seanconfiables a la hora de usarlos y garanticen lamáxima privacidad posible.
8. Auditoría de Sistemas
• Independencia
• Integridad
• Competencia profesional
• Confidencialidad
• Responsabilidad
• Conducta profesional
• Normas técnicas.
Perfil del auditor de sistemas
8. Auditoría de Sistemas
Los controles son un conjunto de disposicionesmetódicas, cuyo fin es vigilar las funciones y actitudesde las empresas y para ello permite verificar si todo serealiza conforme a los programas adoptados, órdenesimpartidas y principios admitidos.
• Riesgo.
• Seguridad.
8. Auditoría de Sistemas
Controles
Cla
sifi
caci
ón
de
los
con
tro
les.
Preventivos
Detectivos
Correctivos
Automáticos o lógicos
Controles
8. Auditoría de Sistemas
157
Fases de la Auditoría
8. Auditoría de Sistemas
Contacto
Planificación de la
operación
Desarrollo de la
auditoría
Fase de diagnostico
Conclusiones
9. Auditoría de las comunicaciones y
redes.
Tema 9.
Definición.
La auditoría de las comunicaciones y redes se refierea la revisión de los procesos de autenticación en lossistemas de comunicación, los cuales mediantepruebas se evalúa su desempeño y seguridadlogrando así una comunicación más eficiente ymanejo seguro de la información.
9. Auditoría de las Comunicaciones y Redes
¿A que tipos de empresas se aplica la auditoría encomunicaciones y redes?
Se aplica en especial a empresas que poseentecnología de comunicaciones tales como la radio,televisión, teléfono y telefonía móvil,comunicaciones de datos, redes informáticas eInternet,
9. Auditoría de las Comunicaciones y Redes
¿Qué es una red informática?
Una red informática es un conjunto de dispositivosinterconectados entre sí a través de un medio, queintercambian información y comparten recursos.
9. Auditoría de las Comunicaciones y Redes
Modelos de Comunicación
9. Auditoría de las Comunicaciones y redes
Modelo OSI
• Aplicación
• Presentación
• Sesión
• Transporte
• Red
• Enlace de datos
• Física
Modelo TCP/IP
• Aplicación
• Transporte
• Internet
• Acceso a la red
Protocolos y estándares de cifrado para redes inalámbricas
WEP (Wired Equivalent Privacy)
WPA (Wi-Fi Protected Access)
WPA2 (Wi-Fi Protected Access 2)
TKIP (Temporal Key Integrity Protocol), AES (AdvancedEncryption Standard)
9. Auditoría de las Comunicaciones y redes
Auditoría de la red física. (Se debe garantizar que exista.)
Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de
comunicación para evitar accesos físicos. Control de utilización de equipos de prueba de
comunicaciones para monitorear la red y el tráfico en ella. Control de las líneas telefónicas. VoIP monitoreos,
permisos. Documentación sobre la topología y diagrama de la red.
9. Auditoría de las Comunicaciones y redes
Auditoría de la red física. (Se debe garantizar que exista.)
Medidas para separar las actividades de los electricistas yde cableado de líneas telefónicas.
Adecuada seguridad física del equipo de comunicaciones. Existan revisiones periódicas de la red. Establecer las tasas de rendimiento de los procesos y
análisis del consumo de datos y memoria de losservidores.
9. Auditoría de las Comunicaciones y redes
Existencia de contraseñas de acceso. Esquema de seguridad de alto nivel en la red. Garantizar que en una transmisión, sea recibida
solo por el destinatario. Revisar el registro de las actividades de los
usuarios en la red. Encriptación de los accesos a la información.
Auditoría de la red lógica.
9. Auditoría de las Comunicaciones y redes
Inhabilitar el software o hardware con acceso libre. Los mensajes lógicos de transmisión han de llevar
origen, fecha, hora y receptor. Los datos sensibles, solo pueden ser impresos en un
dispositivo especifico y deben ser vistos desde unaterminal debidamente autorizada.
(Recomendaciones)
9. Auditoría de las Comunicaciones y redes
Asegurar que los datos que viajan por Internetvayan cifrados.
Deben existir políticas que prohíban la instalaciónde programas o equipos personales en la red.
Uso de VPN para transmitir los datos de maneramas segura.
Generar ataques propios para probar solidez de lared
(Recomendaciones)
9. Auditoría de las Comunicaciones y redes
10. Auditoría de la Seguridad.
Tema 10.
Definición.
Referido a datos e información, verificando disponibilidad,integridad, confidencialidad, autenticación y no repudio.
• Para comprender el concepto de auditoría de laseguridad, es necesario saber el significado de algunosconceptos que se describen a continuación.
10. Auditoría de la Seguridad
Seguridad
Confidencialidad
Integridad
Control
Autorización
Autenticación
Disponibilidad
10. Auditoría de la Seguridad
Seguridad Física Seguridad lógica.
La auditoría de seguridad abarca dos aspectos importantes:
10. Auditoría de la Seguridad.
Auditoría de Seguridad Física.Se refiere a la ubicación de la organización, evitandoubicaciones de riesgo, y en algunos casos no revelando lasituación física de esta. También está referida a lasprotecciones externas (arcos de seguridad, CCTV,vigilantes, etc.) y protecciones del entorno.
10. Auditoría de la Seguridad.
..• Evaluar niveles de seguridad
..• Analizar riesgos, amenazas y vulnerabilidades.
.• Analizar y revisar los planes de contingencia.
.• Revisar la seguridad física en general.
.
• Aplicar métodos y soluciones concretas.
Algunos objetivos de la Seguridad Física
10. Auditoría de la Seguridad.
Auditoría de Seguridad Lógica.La auditoría de la seguridad lógica esla encargada de establecermecanismos y barreras quemantengan a salvo los sistemas deinformación de la organizaciónaplicando controles de seguridadlógica como encriptamiento, firmadigital, certificados digitales, clavesde acceso, software de control deacceso.
10. Auditoría de la Seguridad.
..• Limitar accesos.
..• Otorgar los privilegios mínimos a usuarios.
.
• Revisar que los archivos y aplicaciones se utilicenadecuadamente.
.
• Gestionar la disponibilidad, integridad, confidencialidad,autenticación y no repudio.
.
• Aplicar métodos y soluciones concretas.
Algunos objetivos de la Seguridad Lógica
10. Auditoría de la Seguridad.
Estándares base para auditorías de seguridad informática
Cobit (objetivos de control de la tecnología de lainformación).
ISO 17799
ISO 27001
ISO 27002
10. Auditoría de la Seguridad.
NORMAS NFPA75
TIA 942
ISACA
10. Auditoría de la Seguridad.
Estándares base para auditorías de seguridad informática
1. Identificar las vulnerabilidades a las que se veexpuesto el recurso computacional y el sitio webde la organización desde internet por parte dedelincuentes informáticos.
Proceso de una auditoría deseguridad informática.
10. Auditoría de la Seguridad.
2. Auditoría desde la red interna (LAN) dela organización para la identificación de lasvulnerabilidades generadas desde elinterior de la organización aprovechandolos beneficios de la red de área local.
Proceso de una auditoría deseguridad informática.
10. Auditoría de la Seguridad.
3. Trabajo sobre los equipos ejecutandoherramientas software de identificación devulnerabilidades, identificación de tipos dearchivos contenidos de software espía,virus informáticos y análisis personales delestado físico, lógico y locativo de cada unode los equipos.
Proceso de una auditoría deseguridad informática.
10. Auditoría de la Seguridad.
4. Ejecución de entrevistas sobre el manejode políticas de seguridad física, lógica ylocativa de los miembros de laorganización.
Proceso de una auditoría deseguridad informática.
10. Auditoría de la Seguridad.
¡MUCHAS GRACIAS!
183
Top Related