Auditoria Informática Profesor: Hector Schulz Pérez Asignatura: Base de Datos

1. Auditoria InformáticaProfesor: Hector Schulz Pérez Asignatura: Base de Datos Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches Cristián Pino Torres

2. Introducción • La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

3. Auditoría • La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo

4. Tipos de Auditorias Áreas Específicas Áreas Generales Interna Dirección Usuario Seguridad • Explotación • Desarrollo • Sistemas • Comunicaciones • Seguridad

5. Metodología de auditoría informática • Alcance y objetivos • Estudio inicial del entorno auditable • Determinación de los recursos • Elaborar plan y programa de trabajo • Actividades de auditoría • Informe final • Carta de presentación del informe

6. Objetivo General de Auditoría de sistemas • Operatividad 100%

7. Herramientas para Auditoría informática • Cuestionarios • Entrevistas • Check list (de rango y binario) • Trazas • Software de interrogación

8. Consideraciones para el éxito del análisis crítico • Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento) • Investigar las causas, no los efectos. • Atender razones, no excusas. • No confiar en la memoria, preguntar constantemente. • Criticar objetivamente y a fondo todos los informes y los datos recabados.

9. Investigación preliminar • No tiene y se necesita. • No se tiene y no se necesita. • Se tiene la información pero: • No se usa. • Es incompleta. • No está actualizada. • No es la adecuada. • Se usa, está actualizada, es la adecuada y está completa

10. Informe Después de realizar los pasos anteriores y de acuerdo a los resultados obtenidos, el auditor realizará un informe resultante con observaciones y/o aclaraciones para llevar a cabo dentro de las áreas involucradas para el mejor funcionamiento del sistema.

11. Auditoria de Datos • La auditoría de datos habilita a una organización la identificación de quien crea, modifica, elimina y accede los datos, cuando y como son accedidos. O bien, la estructura de los datos. • La sola existencia de auditoría de datos tiene un efecto disuasivo en los intrusos de los datos.

12. Auditoria de datos: una forma de vida • Su presencia debe ser parte integral de las operaciones de los servicios informáticos en una organización en el día a día.

13. Auditoría de datos: Mejores prácticas (1) • Responsabilidad segregada • El equipo responsable de auditar un sistema debe ser distinto a aquel que lo administra y lo utiliza • Mantener el Sistema de Auditoría de Datos Independiente • Nada ni nadie debe ser capaz de alterar un log de auditoría • Hacerla Escalable, Ampliable y Eficiente • La plataforma de auditoría de datos debe acomodarse al crecimiento y la adición de nuevas fuentes de datos

14. Auditoría de datos: Mejores prácticas (2) • Hacerla Flexible • Los requerimientos de auditoría cambiarán; asegúrese que se pueda responder rápida y fácilmente a esos cambios desplegando un marco de auditoría flexible • Gestión Centralizada • Una plataforma de auditoría de datos debe ser capaz de auditar múltiples bases de datos en múltiples servidores físicos

15. Auditoría de datos: Mejores prácticas (3) • Asegurar la Plataforma de auditoría de Datos • La plataforma de auditoría por si misma no debe tener “puertas traseras de acceso” a sus propios datos ni permitir el acceso por dichas puertas traseras a los datos de cualquiera de las bases de datos que monitorea. • Identificación de los Datos • Se debe establecer y mantener un inventario de todos los datos, incluyendo aquellos provenientes de fuentes externas

16. Auditoría de datos: Mejores prácticas (4) • Análisis de los Datos • Determine los roles, vulnerabilidades y responsabilidades relativas a todos los datos. • Hacerla Completa • La política de auditoría de datos necesita abarcar todos los datos dentro de una organización, incluyendo todos los datos de aplicación, los datos de comunicaciones incluyendo los registros de correos electrónicos y mensajes instantáneos, registros de transacciones y toda la información que pasa hacia o alrededor de una organización tanto desde dentro como desde afuera

17. Auditoría de datos: Mejores prácticas (5) • Habilitación de Reportes y Análisis • Establecimiento de Patrones de Uso Normal • Establecimiento de una Política de Documentación y Revisión • La auditoría de datos implementada directamente para satisfacer mandatos de reguladores debe referirse directamente a los elementos de las regulaciones que satisface: (Sarbanes-Oxley, HIPAA, GLBA, etc.).

18. Auditoría de datos: Mejores prácticas (6) • Monitorear, Alertar, Reportar • Dependiendo del riesgo, se deben atar los eventos o datos anormales a los sistemas de alerta y, en algunos casos disparar alarmas en tiempo real. • Incrementar y Complementar la Seguridad • La auditoría de datos incrementa y complementa los niveles de la seguridad de los sistemas de IT • Respaldo y Archivo • Los LOG de Auditoría, por si mismas, deben ser respaldadas y lo ideal, almacenadas en una sitio remoto

19. Auditoría de datos: Mejores prácticas (7) • Crear Procedimientos para la Operación y para la Recuperación ante Desastres • Es necesario crear políticas y procedimientos que gobiernen cómo se accede a las pistas de auditoría y cómo se recuperan los datos perdidos • Todas las operaciones de recuperación también deben ser auditadas.

20. Conclusión • El acceso no autorizado o cambios desconocidos a los datos de una organización pueden debilitar o arruinar una empresa. • El robo, error, pérdida, corrupción o fraude de los datos puede costarle a una compañía su reputación, sus ganancias, o ambos. • La auditoría de datos no solamente protege los datos de una organización, sino que asegura la responsabilidad, la recuperación y la longevidad de los sistemas que dependen de los datos.

21. Estándares de Seguridad de la información • ISO/IEC 27000-series • COBIT • ITIL

22. ISO/IEC 27000-series • La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). • La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).

23. COBIT • Objetivos de Control para la información y Tecnologías relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) • Es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoria y Control de Sistemas de Información, (ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute) en 1992.

24. ITIL • La Information Technology Infrastructure Library ("Biblioteca de Infraestructura de Tecnologías de Información"), frecuentemente abreviada ITIL. • Es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI