jueves, 2 de junio de 2016

ISO


NORMA ISA 401, SOBRE SISTEMAS DE INFORMACIÓN POR COMPUTADORA. SAS NO. 94 (THE EFFECT OF INFORMATION TECHNOLOGY ON THE AUDITOR'S CONSIDERATION OF INTERNAL CONTROL IN A FINANCIAL STATEMENT AUDIT)

Dice que en una organización que usa Tecnologías de Información, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluación de riesgos, actividades de control, información, comunicación y monitoreo además de la forma en que se inicializan, registran, procesan y reporta las transacciones.

ISO 27001 (INFORMATION TECHNOLOGY – SECURITY TECHNIQUES – INFORMATION SECURITY MANAGEMENT SYSTEMS – REQUIREMENTS)

ISO / IEC 27001: 2005 cubre todos los tipos de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro).

Especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la información documentada en el contexto de los riesgos de negocio globales de la organización. Especifica los requisitos para la aplicación de controles de seguridad adaptados a las necesidades de las organizaciones individuales o partes de los mismos.

Está diseñado para garantizar la selección de controles de seguridad adecuadas y proporcionadas para proteger los activos de información y dar confianza a las partes interesadas.

ISO 27002 (INFORMATION TECHNOLOGY – SECURITY TECHNIQUES – CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT)

Hemos resumido en el siguiente diagrama la relación de requisitos específicos localizados en cláusulas del estándar ISO/IEC 27001:2005 con aquellos estándares que pueden servir de ayuda y/o desarrollo de posibles soluciones de implantación:
Estas relaciones han cambiado con la publicación de la nueva versión ISO/IEC 27001:2013 según la reorganización de las publicaciones ISO en la nueva estructura de Anexo SL que, junto a los cambios en los contenidos, ha desencadenado la actualización de las normas de la serie 27000. A continuación se muestra un diagrama de relación de la reorganización de las cláusulas principales de la versión 2005 a la publicada en 2013.

ISO/IEC 12207 (SOFTWARE LIFE CYCLE PROCESS)

ISO / IEC 12207: 2008 establece un marco común para los procesos del ciclo de vida del software, con la terminología bien definida, que puede ser referenciado por la industria del software.
Contiene los procesos, actividades y tareas que se van a aplicar durante la adquisición de un producto de software o servicio y durante el suministro, desarrollo, operación, mantenimiento y eliminación de productos de software.
El software incluye la parte de software de firmware. ISO / IEC 12207: 2008 se aplica a la adquisición de sistemas y productos de software y servicios, con el suministro, desarrollo, operación, mantenimiento y eliminación de productos de software y la parte de software de un sistema, bien sea interna o externamente a una organización.

Se incluyen aquellos aspectos de la definición del sistema necesario para proporcionar el contexto para los productos y servicios de software. ISO / IEC 12207: 2008 también proporciona un procedimiento que puede ser empleado para definir, controlar y mejorar los procesos del ciclo de vida del software. Los procesos, actividades y tareas de la norma ISO / IEC 12207: 2008 - ya sea solos o en combinación con la norma ISO / IEC 15288 - También se puede aplicar durante la adquisición de un sistema que contiene el software.

Publicadas por a la/s No hay comentarios.:

jueves, 26 de mayo de 2016

COBIT

COBIT

COBIT (OBJETIVOS DE CONTROL PARA TECNOLOGÍA DE INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS)
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control; COBIT, basado en la filosofía de que los recursos de TI, consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
Se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos.

  • Misión
  • Usuarios
  • La gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
  • Los usuarios finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
  • Los auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
  • Los responsables de TI: para identificar los controles que requieren en sus áreas.
  • Orientado al negocio.
  • Alineado con estándares y regulaciones "de facto".
  • Basado en una revisión critíca y analítica de las tareas y actividades en TI.
  • Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).
  • Principios de COBIT
  • Procesos de TI
  • Requerimientos de información del negocio
  • Recursos de TI

COBIT investiga, desarrolla, publica y promueve un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.
Los usuarios de COBIT son aquellos quienes desean mejorar y garantizar la seguridad de sus sistemas bajo un estricto método control de tecnología de información como lo es COBIT:
Características de COBIT
El enfoque del control en TI (Tecnología de información) se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con la tecnología de información que deben ser administrados por procesos de TI.
Principios:

  • Procesos de TI
  • Requerimientos de información del negocio
  • Recursos de TI


Publicadas por a la/s No hay comentarios.:

miércoles, 25 de mayo de 2016

ESTÁNDARES DE AUDITORÍA DE SISTEMAS


ESTÁNDARES DE AUDITORIA DE SISTEMAS

Utilización de metodologías, instrumentos y procedimientos operativos propios. 
En la planificación de las auditorías informáticas.Empleo de marcos referenciales para la declaración de los objetivos del control. En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas.
Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares:

ISACA - Asociación de Auditoría y Control de Sistemas de Información 
ISO – Organización Internacional para la estandarización. 
NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.

En la actualidad existen tres tipos de metodologías de auditoría informática: 

R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen. 
CHECKLIST o cuestionarios.
AUDITORIA DE PRODUCTOS (por ejemplo, Red Loca  Windows NT; sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF, etc.). Metodología.

En sí las tres metodologías están basadas en la minimización de los riesgos, que se conseguirá en función de que existan los controles y de que éstos funcionen. En consecuencia el auditor deberá revisar estos controles y su funcionamiento.
Las metodologías de auditoría de SI son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación continua.


Esta metodología tiene tres etapas fundamentales:

      ETAPA: Planeación de Auditoria de Sistemas Computacionales
      ETAPA: Ejecución de la Auditoria de Sistemas Computacionales
.     ETAPA: Dictamen de la Auditoria de Sistemas Computacionales 



Publicadas por a la/s No hay comentarios.:

sábado, 21 de mayo de 2016

VIRUS

VIRUS

Es un programa que se replica, añadiendo una copia de sí mismo a otro programa, son particularmente dañinos que pasan desapercibidos hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios hasta la pérdida total del sistema.


Características de los VIRUS
·         Auto-reproducción    Capacidad de replicarse
·         Infección                   Es la capacidad que tiene el código de alojarse      en otros programas

Propósitos de los VIRUS
·         Infectar el software
Sus instrucciones agregan nuevos archivos al sistema o manipulan el contenido de los archivos.
·         Afectar el hardware

Sus instrucciones manipulan los componentes físicos, su objetivo principal son los dispositivos de almacenamiento secundario.

FACTORES DE RIESGOS HUMANOS

HACKER´S

Personas con avanzados conocimientos técnicos en el área de informática.
2 objetivos
·         Probar que tienen las competencias para invadir un sistema protegido.
·         Probar que la seguridad de un sistema tiene fallas.

                          CRACKER´S
Personas con habilidad hacia invasión de sistemas a lo que no tienen acceso autorizado.
2 objetivos
·         Destruir parcial o totalmente los sistemas.
·         Obtener un beneficio personal.






Publicadas por a la/s No hay comentarios.:

viernes, 20 de mayo de 2016

SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA

Referente a la seguridad informática, se puede decir que con ello hace posible captar y utilizar la información almacenada, hacer una gestión pertinente y apropiada, se tiene además acceso a procesos en línea.
Cuando se habla de seguridad informática se refiere al conjunto de software, hardware y procedimientos para asegurar la información de las bases de datos.
También es una disciplina que se ocupa prácticamente de diseñar las normas, procedimientos, métodos y técnicas orientadas a proveer condiciones seguras y confiables, para el procesamiento de datos en el sistema informático.

En la seguridad informática se tienen 3 principios básicos que son:
1.    Confidencialidad
2.    Integridad
3.    Disponibilidad

Confidencialidad: Las herramientas de seguridad informática deben de proteger al sistema de invasiones y accesos de personal no autorizado.

Integridad: Validez y consistencia de los elementos de la información almacenador y procesadores de un sistema informático. Las herramientas de seguridad informática deben asegurar que los procesos de actualización estén sincronizados y no sean duplicados.

Continuidad: Las herramientas deben de reforzar la permanencia, en condiciones de actividad adecuada.

Factores de riesgo
·         Ambientales
Lluvias, inundaciones, terremotos, etc.
·         Tecnológicos
Fallas de hardware, ataque por virus.
·         Humanos
Alteración, pérdida, robo de contraseñas, fraude, modificaciones.

Publicadas por a la/s No hay comentarios.:

jueves, 5 de mayo de 2016

SOFTWARE DE AUDITORIA

SOFTWARE DE AUDITORÍA

Conjunto de programas que sirven para interactuar con el sistema, confiriendo control sobre el hardware, además de dar soporte a otros programas.
Denominado también software de base, consiste en un software que sirve para controlar e interactuar con el sistema operativo, proporcionando control sobre el hardware y dando soporte a otros programas; en contraposición del llamado software de información.


El Software de Sistema se divide en:
Sistemas operativos, Controladores de Dispositivos y programas utilitarios
Sistema operativo
El Sistema Operativo es un conjunto de programas que administran los recursos de la computadora y controlan su funcionamiento.
Un Sistema Operativo realiza cinco funciones básicas: Suministro de Interfaz al Usuario, Administración de Recursos, Administración de Archivos, Administración de Tareas y Servicio de Soporte.
1.   Suministro de interfaz al usuario: Permite al usuario comunicarse con la computadora por medio de interfaces que se basan en comandos, interfaces que utilizan menús, e interfaces gráficas de usuario.
2.   Administración de recursos: Administran los recursos del hardware como la CPU, memoria, dispositivos de almacenamiento secundario y periféricos de entrada y de salida.
3.   Administración de archivos: Controla la creación, borrado, copiado y acceso de archivos de datos y de programas.
4.   Administración de tareas: Administra la información sobre los programas y procesos que se están ejecutando en la computadora. Puede cambiar la prioridad entre procesos, concluirlos y comprobar el uso de estos en la CPU, así como terminar programas.
5.   Servicio de soporte: Los Servicios de Soporte de cada sistema operativo dependen de las implementaciones añadidas a este, y pueden consistir en inclusión de utilidades nuevas, actualización de versiones, mejoras de seguridad, controladores de nuevos periféricos, o corrección de errores de software.
Controladores de Dispositivos
Los Controladores de Dispositivos son programas que permiten a otros programa de mayor nivel como un sistema operativo interactuar con un dispositivo de hardware.
Programas Utilitarios
Los Programas Utilitarios realizan diversas funciones para resolver problemas específicos, además de realizar tareas en general y de mantenimiento. Algunos se incluyen en el sistema operativo.




Publicadas por a la/s No hay comentarios.:

jueves, 28 de abril de 2016

HERRAMIENTAS DE AUDITARÍAS DE SISTEMAS


HERRAMIENTAS DE AUDITORÍA DE SISTEMAS


Las Herramientas de auditoria, son procesos de recolección, agrupación y evaluación que lleva un experto verificando que el sistema efectivamente cumpla con:
Salvaguardar el activo más grande de una empresa que es la información o registros.
Si los datos son íntegros o verídicos, de la misma manera la utilización eficiente de todos los recursos de información y claro la seguridad informática.
Se menciona que el objetivo del auditor en dichas herramientas será evaluar el control y funcionamiento informático.


Al hacer cuestionarios estos deben ser específicos para cada situación, y muy cuidados en su fondo y su forma. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos pre impresos hubieran proporcionado.

Las entrevistas es una de las actividades personales más importante del auditor; recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.  Interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo.
En las trazas y huellas con frecuencia, el auditor debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.

Se conoce como peritaje informático a los estudios e investigaciones orientados a la obtención de una prueba informática de aplicación en un asunto judicial para que sirva a un juez para decidir sobre la culpabilidad o inocencia de una de las partes. La pericia, por ser un medio probatorio, tiene sus normas, previstas en los códigos procesales, respecto a la designación, tiempos y forma de presentación.


Matriz DOFA es un método de análisis y diagnóstico usado para la evaluación de un centro de cómputo, que permite la evaluación del desempeño de los sistemas software, aquí se evalúan los factores internos y externos, para que el auditor puede evaluar  el cumplimiento de la misión y objetivo general del área de informática de la organización.

Herramientas informáticas más comunes
  • Backup y copias de discos duros y medios removibles.
  • Software de búsqueda de archivos.
  • Google Desktop.
  • Software de Recuperación de archivos borrados (recuba).
  • Análisis de la memoria Ram.
  • Análisis de la red.
  • Actividad del equipo.
  • Borrado definitivo
  • Búsqueda de mails, historial de internet, chats.
  • Otros: Encase Forensic, CondorLinux, impresiones.
Entre las Características de las Herramientas que le son útiles al auditor Podemos Mencionar las siguientes:
  • Incrementar la productividad y efectividad del auditor.
  • Estandarizar el proceso de los papeles de trabajo
  • Estandarizar el conocimiento de los auditores
  • Elevar el perfil del departamento de auditoria
  • Optimizar la emisión del informe de auditoría
Las técnicas que  ayudan al auditor en el trabajo de campo
Traceo
Esta técnica indica por donde trascurrió el programa cada vez que se ejecuta una instrucción, asimismo, imprime o muestra en la pantalla el valor de las variables, en una porción o en todo el programa.
Mapeo
Muestra las características de los programas siendo estas como el tamaño en bytes, localización en memoria, fecha de última modificación, entre otras.
Comparación de código   
Involucra los códigos fuentes (Es un conjunto de líneas de texto que son las instrucciones que debe seguir la computadora para ejecutar dicho programa.) y códigos objetos.

Entre sus funcionalidades destacan:
  • Capacidad de muestreo
  • Filtros de información
  • Recurrencia de pruebas
  • Beneficios
  • Eficiencia en el trabajo
  • Aumenta la eficiencia en la conducción de la evaluación de riesgos y planificación anual. El incremento está entre 20% y 45%.
  • Base de conocimiento
  • Acceso inmediato a toda la documentación de auditorías pasadas, en ejecución o planeadas.
  • Flexibilidad.

Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)