1 / 146

AUDITORIA DE REDES

AUDITORIA DE REDES. Mtra. Lucero J. Govea. ¿Qué es la Auditoría de Redes?. AUDITORIA DE REDES. Investigar. Revisar y Verificar. Evaluar. Recomendar. ¿Qué se debe revisar?. Diseño de la Red. AUDITORIA DE REDES. Verificar Cableado. ¿Qué se debe revisar?. Instalaciones Electricas.

hazel
Download Presentation

AUDITORIA DE REDES

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. AUDITORIA DE REDES Mtra. Lucero J. Govea

  2. ¿Qué es la Auditoría de Redes? AUDITORIA DE REDES Investigar Revisar y Verificar Evaluar Recomendar

  3. ¿Qué se debe revisar? Diseño de la Red

  4. AUDITORIA DE REDES Verificar Cableado ¿Qué se debe revisar?

  5. Instalaciones Electricas ¿Qué se debe revisar?

  6. ¿Qué se debe revisar? Tráfico de Red

  7. ¿Qué se debe revisar? Climatización de Servidores

  8. ¿Qué se debe revisar? Procedimientos de Respaldos

  9. ¿Qué se debe revisar? Licencias del Software

  10. ¿Qué se debe revisar? Inventario de Equipos

  11. Identificar los conceptos básicos requeridos para la práctica de auditoría de redes de voz y datos. Unidad I Propósito:

  12. CONOCIMIENTOS DE LA UNIDAD DE APRENDIZAJE AUDITORÍA DE REDES UNIDAD DE COMPETENCIA I

  13. CONCEPTO DE AUDITORÍA A LAS TECNOLOGÍAS DE LA INFORMACIÓN TIPOS DE AUDITORÍA ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA ESTÁNDARES, DIRECTRICES, PROCEDIMIENTOS Y GUÍAS DE AUDITORÍA CÓDIGO DE ÉTICA PROFESIONAL DEL AUDITOR EL CONTROL INTERNO

  14. RIESGOS DE AUDITORÍA Y MATERIALIDAD DETECCIÓN DE FRAUDES AUTOEVALUACIÓN DEL CONTROL COBIT ITIL MARCO JURÍDICO NORMATIVO DE LA FUNCIÓN DE AUDITORÍA

  15. La Auditoría Informática constituye una serie de exámenes que se realizan en un sistema informático de manera periódica o esporádica, con el propósito de analizar y evaluar la planificación, la eficacia, sus objetivos de control, la seguridad, economía y por supuesto la detección de irregularidades que se podrían manifestar en el procesamiento de la información. Presentación

  16. La Auditoría Informática comprende la revisión y la evaluación independiente y objetiva, del ambiente y del entorno informático de una organización. Comprende la evaluación de todas o algunas de sus áreas, los estándares y procedimientos en vigor, su calidad y el cumplimiento de ellos, de los objetivos fijados, de los contratos y las normas legales aplicables; el grado de satisfacción de usuarios y directivos; los controles existentes y un análisis de los riesgos. Presentación

  17. El curso está centrado en el análisis de los aspectos teóricos, metodológicos y técnicos de los diversos temas que comprende la auditoría informática. El propósito fundamental es el de ofrecer a los estudiantes, métodos y procedimientos que apoyados en tecnologías de la información fortalezcan el aprendizaje significativo. Presentación Presentación

  18. Comprende la enseñanza – aprendizaje de 5 unidades didácticas que tendrán como diferentes recursos para lograr la construcción del conocimiento de los estudiantes. Presentación

  19. Definiendo Auditoría La palabra auditoría viene del latín “auditorius”, y de esta proviene auditor el que tiene la virtud de oír; “revisor de cuentas colegiado” El auditor tiene la virtud de oír y revisar cuentas, encaminado a un objetivo específico, evaluar la eficiencia y eficacia con que se está operando para que por medio de señalamientos , se tomen decisiones que permitan corregir los errores en caso de que existan o mejorar la forma de actuación.

  20. Definiendo Auditoría con frecuencia la palabra auditoría se ha empleado incorrectamente y se le ha considerado una evaluación cuyo único fín es detectar errores y señalar fallas, por eso la frase tan utilizada “tiene auditoría” como sinónimo de que antes de realizarse, ya se encontraron fallas y por lo tanto se está haciendo la auditoría.

  21. Definiendo Auditoría El concepto de auditoría es más amplio; no solo detecta errores: es un examen crítico con la finalidad de evaluar la eficiencia y eficacia de una sección o un organismo, Determinar cursos alternativos de acción para mejorar la organización y lograr los objetivos propuestos

  22. CONCEPTO DE AUDITORÍA A LAS TECNOLOGÍAS DE LA INFORMACIÓN

  23. La Auditoria de TECNOLOGIAS DE INFORMACION (T.I.), como se le conoce actualmente, (Auditoria informática o Auditoria de sistemas en nuestro medio). En algunos países altamente desarrollados es catalogada como una actividad de apoyo vital para el mantenimiento de la infraestructura crítica de una nación, tanto en el sector público como privado, en la medida en que la INFORMACION es considerada un activo tan o más importante que cualquier otro en una organización. Concepto de Auditoríaa las tecnologías de la Información

  24. Concepto de Auditoríaa las tecnologías de la Información Existen, normas, técnicas y buenas practicas dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la INFORMACION tratada y almacenada a través de la computadora y equipos afines, así como de la eficiencia, eficacia y economía con que la administración de un ente están manejando dicha INFORMACION y todos los recursos físicos y humanos asociados para su adquisición, captura, procesamiento, transmisión, distribución, uso y almacenamiento.

  25. Concepto de Auditoríaa las tecnologías de la Información Cuyo objetivo es una opinión o juicio, para lo cual se aplican técnicas de auditoria de general aceptación y conocimiento técnico específico.

  26. Concepto de Auditoríaa las tecnologías de la Información apoyada por un conjunto de conocimientos acerca de la tecnología informática, de técnicas y procedimientos de auditoría y de conocimientos contables, para evaluar la calidad, fiabilidad y seguridad de un entorno informático dado, así como brindar seguridad razonable acerca de la utilidad de la información almacenada y procesada en ellos, con el fin de emitir un juicio al respecto.

  27. Concepto de Auditoría Finalmente, deberá expresar su opinión acerca del grado de eficiencia, eficacia y economía con que están siendo usados - administrados todos los recursos de tecnología informática a cargo de la administración, incluido el factor humano.

  28. Auditoría de Red La globalización, la competencia y los avancestecnológicos están aumentando la importancia de las redes corporativas en todos los sectores empresariales. Las empresas con mayor visión deben estar preparadas para una creciente dependencia de sus redes y, en consecuencia, para un crecimiento de red exponencial.Además, La infraestructura de las Tecnologías de la Información y de las Comunicaciones (TIC) se ha convertido en un activo empresarial estratégico y la red constituye su núcleo.

  29. CONCEPTO Una Auditoria de Redes es, en esencia, unaserie de mecanismos mediante los cuales sepone a prueba una red informática, evaluandosu desempeño y seguridad, a fin de lograr unautilización más eficiente y segura de lainformación. El primer paso para iniciar unagestión responsable de la seguridad esidentificar la estructura física (hardware,topología) y lógica (software, aplicaciones) delsistema (sea un equipo, red, intranet, extranet),y hacerle una Análisis de Vulnerabilidad, parasaber en qué grado de exposición nosencontramos; Concepto Una Auditoria de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información.

  30. Concepto El primer paso para iniciar unagestión responsable de la seguridad esidentificar la estructura física (hardware,topología) y lógica (software, aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y hacerle una Análisis de Vulnerabilidad, para saber en qué grado de exposición nos encontramos.

  31. Concepto Así, hecha esta "radiografía" de la red, seprocede a localizar sus fallas máscríticas, para proponer una Estrategia deSaneamiento de los mismos; un Plan deContención ante posibles incidentes; y unSeguimiento Contínuo del desempeño delsistema.

  32. TIPOS DE AUDITORÍA

  33. Tipos de Auditoría Auditoría Interna y Auditoría Externa: La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.

  34. Auditoría externa Realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.

  35. Auditoría informática interna La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

  36. Auditoría informática interna En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costeo de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.

  37. Auditoría informática interna En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente.

  38. Auditoría informática interna Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas.

  39. Auditoría informática interna Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser: 1) Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados.

  40. Ausitoría informática interna 2) Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. 3) Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa.

  41. Auditoría informática interna Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa. La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.

  42. Tipos y clases de auditoría Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Áreas Especificas de la Auditoría Informática más importantes.

  43. Tipos y clases de auditoría Cada Área Especifica puede ser auditada desde los siguientes criterios generales: Desde su propio funcionamiento interno. Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta. Desde la perspectiva de los usuarios, destinatarios reales de la informática. Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada.

  44. Tipos y clases de auditoría entre otras Financiera Informática Gestión Cumplimiento

  45. ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA

  46. Organización de la función de auditoría La función de auditoría informática paso de ser una función de ayuda al auditor financiero a ser una función que desarrolla un trabajo, y seguirá haciéndolo en el futuro. En acuerdo con la importancia que tienen los sistemas informáticos y de información para las organizaciones. El auditor informático pasa a ser auditor y consultor y asesor en: seguridad, control interno, eficiencia y eficacia, tecnología informática, continuidad de operaciones, gestión de riesgos. Mas allá de los sistemas informáticos sino en el contexto empresarial.

  47. Organización de la función de auditoría ¿cómo se debe organizar la función de auditoría informática dentro de la empresa? Históricamente la función de auditoría informática se considera dentro de la función de auditoría interna, pero debe ser independiente de los objetivos de la auditoría interna operativa y financiera. Debe tener accesibilidad total a los sistemas informáticos y de información. Debe estar bajo la dirección del director de auditoría interna, para evitar que otras dependencias cambien o disminuyan su imagen.

  48. Organización de la función de auditoría No debe depender del encargado de sistemas ni del departamento de organización, financiero o administrativo (debe ser independiente). El departamento de auditoría informática debe tener una organzación interna basada en: Jefe del departamento Gerente o supervisor de auditoría informática Staff de auditores informáticos

  49. Organización de la función de auditoría El tamaño debe estar en función de los objetivos de la función, con especialistas en entorno informático en comunicaciones y o redes, responsable de gestión de riesgo operativo, responsable de la auditoría de sistemas y de ser posible un especialista para la elaboracíón de programas trabajos conjuntos con la auditoría financiera.

  50. ESTÁNDARES, DIRECTRICES, PROCEDIMIENTOS Y GUÍAS DE AUDITORÍA

More Related