Auditoria de Sistemas
- 1. República Bolivariana de Venezuela Ministerio del Poder Popular para la Educación Superior U.E.P Universidad Bicentenaria de Aragua Facultad de Ingeniería Escuela de Ingeniería de Sistemas San Joaquín de Turmero, Estado Aragua Generalidades y Fundamentos de la Auditoría de Sistemas Joalbert Milano CI: 28284934 Julio Mora CI:27707301 Jose Camacho CI:29598263 Anthony Encizo CI:22285340 Walter Bortone CI:27536990 Luis Monserrate CI:28187048 Jesus Vicci CI:28290469 Jean Nobile CI:25607099 Ricardo Leañez CI:30012218
- 2. Índice Introducción…………………………………………………………………. 3 Desarrollo..........................................................................................................4 ¿Que es la Auditoria de Sistemas?..................................................................4 Pruebas y herramientas para efectuar una auditoria……………………...5 Pasos para realizar una auditoria…………………………………………...6 Tipos de auditoría…………………………………………………………….7 Objetivos y Campos de la auditoría…………………………………………8 Conclusión…………………………………………………………………….9 Recomendación……………………………………………………………….10 Despedida……………………………………………………………………...11
- 3. Introducción La auditoría de sistemas se ha convertido en un requisito fundamental en el sector empresarial desde hace unas décadas, esto es gracias a las ventajas que esta ofrece frente a los distintos problemas y situaciones que se pudieran presentar en dicho sector. Es necesario una auditoria de sistemas ya que en el mundo o en las empresas se manejan miles de datos a través de internet que pueden ser capturados por atacantes de sombrero negro o hacktivistas para un fin. La auditoría de sistemas no solo se encarga de garantizar el funcionamiento de los sistemas informáticos, si no que también, el auditor del sistemas tiene que tener las habilidades para proporcionarle seguridad adicional a estos sistemas de información. También los auditores tienen que ser capaces de que los sistemas tengan un plan de respaldo en caso de alguna contingencia. Estos y muchos factores han permitido que esta área sea muy importante en su actualidad Un concepto muy usado es el “CID”. El CID significa 1. C = Confidencialidad (Encriptación de los datos) 2. I = Integridad (Garantiza la no modificación de los datos) 3. D= Disponibilidad (Los datos o servicios tienen que estar disponibles por la regla de los cinco nueves “99,999%”) El CID es un concepto básico de los sistemas que generalmente tienen estas 3 premisas. Estas tres premisas son importantes para cualquier sistema de información.
- 4. Desarrollo ¿Que es la Auditoría de Sistemas? La auditoría de sistemas supone la revisión y evaluación de los controles y sistemas de informática, así como su utilización, eficiencia y seguridad en la empresa, la cual procesa la información. Gracias a la auditoría de sistemas como alternativa de control, seguimiento y revisión, el proceso informático y las tecnologías se emplean de manera más eficiente y segura, garantizando una adecuada toma de decisiones. En definitiva, la auditoría de sistemas consiste en: La verificación de controles en el procesamiento de la información e instalación de sistemas, con el objetivo de evaluar su efectividad y presentar también alguna recomendación y consejo. Verificar y juzgar de manera objetiva la información. Examen y evaluación de los procesos en cuanto a informatización y trato de datos se refiere. Además, se evalúa la cantidad de recursos invertidos, la rentabilidad de cada proceso y su eficacia y eficiencia. Todos los sistemas de información tienen que tener una persona (auditor) que haga las pruebas de vulnerabilidad para ver de que manera el sistema puede ser penetrado. El auditor junto a un profesional de ciberseguridad tienen que garantizarle a la empresa que los sistemas tengan la regla de los cinco nueves (99.999%) de disponibilidad de los datos y servicios que dicha empresa provee. Para estos tenemos algunas técnicas que un auditor utiliza en para probar un sistema de información.
- 5. Desarrollo Principales pruebas y herramientas para efectuar una auditoria Pruebas principals Pruebas Sustantivas: Verifican la confiabilidad del SO. La confiabilidad se refiere a que los datos van a estar encriptados para viajar a traves de un medio como internet o cualquier otro (Via microondas, tuneles VPN, etc.). Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información. Con integridad nos referimos a que los datos no se alteren cuando lleguen a su destino Pruebas de Cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.
- 6. Desarrollo Pasos para realizar una Auditoría Establecer cuáles son los objetivos que tiene la empresa, hacia dónde quiere llegar y para tener la capacidad de hacer más eficiente el sistema al cumplir su objetivo. Realizar un inventario con todos los puntos elaborados. Este inventario nos servirá para llevar a cabo una planificación en la cual debemos fijarnos en cómo vamos a estudiar cada uno de esos puntos para que siempre ofrezcan el mejor rendimiento posible. Identificar posibles incidencias que nos hemos encontrado a lo largo de todo el análisis y los riesgos a los que está expuesto el sistema que pueden impedir su buen funcionamiento. Por último, poner en marcha todas las técnicas y métodos necesarios para resolver los problemas que hayan ido apareciendo durante el análisis del sistema y así poder dar una solución prácticamente inmediata. Estos pasos no son estandarizados, son algunas de las mejores practicas que un auditor de sistemas de información puede llevar a cabo. Básicamente el auditor del sistema realiza un escaneo del sistema de información para detectar vulnerabilidades, errores de programación, para tomar medidas y corregir estas fallas.
- 7. Desarrollo Tipos de Auditoría de Sistemas Auditoría a la Gestion Informatica: Actua con mecanismos de mantenimiento, desarrollo, instalación y explotación de un sistema computacional. Tambien tiene un enfoque a la revision de las funciones y actividades administrativas. Un ejemplo de estos son un grupo de IT que se encargen en el mantenimiento de los activos dentro de una empresa. Auditoría del Sistema de computo: Se basa en el correcto funcionamiento de los equipos computacionales, incluyendo tanto hardware como software. Auditoría de los Sistemas de Redes: Esto se basa en la auditoria de la red de una empresa, tomando como premisa equipos, topologia, arquitectura, protocolos de capa dos hasta capa siete, privilegios otorgados por servidores AAA, administradores de la red, entre otros. Auditoría alrededor de la computadora : Se encarga de evaluar todos los aspectos que influyen en el correcto funcionamiento de un sistema y sus actividades, sin recurrir a la parte técnica
- 8. Desarrollo Objetivos de la Auditoría de Sistemas Mejorar la relación costo-beneficio de lo sistemas de información Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas informatizados. Garantizar la confidencialidad e integridad a través de sistemas de seguridad y control profesionales Minimizar la existencia de riesgos, tales como virus o hackers, por ejemplo. Optimizar y agilizar la toma de decisiones. Localizar estafas que estén ocurriendo en la organización. Corroborar la legitimidad de los productos y/o servicios. Encontrar posibles fallas técnicas que se estén haciendo. Analizar si la manera de trabajo de la organización es eficiente. Campos de la Auditoria de Sistemas Evaluación administrativa del área de informática. Evaluación de sistemas y procedimientos. Evaluación del procesamiento de datos, sistemas y equipos de cómputo. Seguridad y confidencialidad de la información.
- 9. Conclusión La auditoría de sistema es el estudio que se encarga de analizar los diferentes tipos de sistema informáticos, y como estos procesan y gestionan los datos, con la finalidad de mejorar el rendimiento y la calidad del producto final, permitiendo a las empresas mejorar en aspectos como: La fiabilidad La seguridad La privacidad La rentabilidad El desempeño Este estudio se centra en el tratamiento de datos y procesos de los diferentes sistemas teniendo como objetivo los siguientes puntos: La gestión las funciones informáticas El análisis del rendimiento de los sistemas informáticos El análisis de la seguridad en el entorno informático La administración de los recursos de los sistemas informáticos El estudio de los diferentes planes de contingencia en caso de algún problema o falla. Por último, cabe destacar, que la auditoria de sistemas abarca diferentes campos, que van desde la evaluación administrativa del área de informática, a la evaluación de los sistemas y sus procesos realizando en los diferentes equipos de cómputos, así como la seguridad e integridad de dichos sistemas frente ataques o amenazas potenciales, por lo que se ha convertido en un elemento indispensable en el desarrollo de las organizaciones y en su desenvolvimiento en el día a día.
- 10. Recomendación Desde un punto de vista empresarial, la auditoria de sistemas es muy importante porque muestra como un auditor tiene la capacidad de resolver los problemas en base a los activos de la empresa. Podemos decir que el principal objetivo de la auditoría es la seguridad de transferencia de los datos dentro de una organización ya que hoy en día los datos son vulnerables a daños hechos por los hackers de sombrero negro. Es de vital importancia que todos los sistemas cuenten con las premisas CID, Confidencialidad, integridad y disponibilidad, ya que gracias a esto las organizaciones y los clientes de la misma puedan confiar plenamente en los servicios que esta ofrece. Hoy en día muchas empresas están en la búsqueda intensiva de profesionales de ciberseguridad e auditores de sistemas, ya que los hackers siempre están desarrollando software para penetrar las vulnerabilidades dentro de un sistema, por esto queremos dar un reconocimiento a las empresas que invierten en ciberseguridad y en equipos de seguridad dentro de sus sistemas, ya que hoy en día es muy importante. Por último, la recomendación para las organizaciones es siempre actualizar los SO de los equipos, mantener los sistemas al día, usar analizador de paquetes que se procesan dentro de la red (Wireshark), contar con Firewalls próxima generación, sistemas de prevención de intrusos (IPS), sistemas de detección de intrusos (IDS), servidores de autenticación tanto para los administradores de los equipos y los servicios de red (AAA) y contar con la seguridad de los equipos físicos dentro de la organización, ya que la mayoría de los ataques ocurren dentro de la misma organización.