Documente Academic
Documente Profesional
Documente Cultură
Introduccin
Auditora de Sistemas
AUDITORIA
CONCEPTO:
La palabra auditoria viene del latn
auditorius y de esta proviene auditor, que
tiene la virtud de or y revisar
CONCEPTO:
- Seguridad Lgica
- Seguridad Fsica
- Confidencialidad
PLANIFICACIN
EJECUCIN
FINALIZACIN
Metodologa de
auditora informtica
Alcance y objetivos
Estudio inicial del entorno auditable
Determinacin de los recursos
Elaborar plan y programa de trabajo
Actividades de auditora
Informe final
Carta de presentacin del informe
Herramientas para
Auditora informtica
Cuestionarios
Entrevistas
Check list (de rango y binario)
Trazas
Software de interrogacin
Consideraciones para el
xito del anlisis crtico
Estudiar hechos y no opiniones (no se
toman en cuenta los rumores ni la
informacin sin fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar
constantemente.
Criticar objetivamente y a fondo todos los
informes y los datos recabados.
Investigacin
preliminar
No tiene y se necesita.
No se tiene y no se necesita.
Se tiene la informacin pero:
No se usa.
Es incompleta.
No est actualizada.
No es la adecuada.
Se usa, est actualizada, es la adecuada
y est completa
Informe
Despus de realizar los pasos
anteriores y de acuerdo a los
resultados obtenidos, el auditor
realizar un informe resultante con
observaciones y/o aclaraciones para
llevar a cabo dentro de las reas
involucradas para el mejor
funcionamiento del sistema.
Auditoria de Datos
La auditora de datos habilita a una
organizacin la identificacin de quien
crea, modifica, elimina y accede los
datos, cuando y como son accedidos.
O bien, la estructura de los datos.
La sola existencia de auditora de
datos tiene un efecto disuasivo en los
intrusos de los datos.
Auditoria de datos: una
forma de vida
Su presencia debe ser parte integral
de las operaciones de los servicios
informticos en una organizacin en el
da a da.
Auditora de datos:
Mejores prcticas
Responsabilidad segregada
El equipo responsable de auditar un sistema debe ser
distinto a aquel que lo administra y lo utiliza
Mantener el Sistema de Auditora de Datos
Independiente
Nada ni nadie debe ser capaz de alterar un log de
auditora
Hacerla Escalable, Ampliable y Eficiente
La plataforma de auditora de datos debe acomodarse
al crecimiento y la adicin de nuevas fuentes de datos
Hacerla Flexible
Los requerimientos de auditora cambiarn;
asegrese que se pueda responder rpida y
fcilmente a esos cambios desplegando un
marco de auditora flexible
Gestin Centralizada
Una plataforma de auditora de datos debe
ser capaz de auditar mltiples bases de datos
en mltiples servidores fsicos
Asegurar la Plataforma de auditora de
Datos
La plataforma de auditora por si misma no
debe tener puertas traseras de acceso a
sus propios datos ni permitir el acceso por
dichas puertas traseras a los datos de
cualquiera de las bases de datos que
monitorea.
Identificacin de los Datos
Se debe establecer y mantener un inventario
de todos los datos, incluyendo aquellos
provenientes de fuentes externas
Anlisis de los Datos
Determine los roles, vulnerabilidades y
responsabilidades relativas a todos los datos.
Hacerla Completa
La poltica de auditora de datos necesita
abarcar todos los datos dentro de una
organizacin, incluyendo todos los datos de
aplicacin, los datos de comunicaciones
incluyendo los registros de correos
electrnicos y mensajes instantneos,
registros de transacciones y toda la
informacin que pasa hacia o alrededor de
Habilitacin de Reportes y Anlisis
Establecimiento de Patrones de Uso
Normal
Establecimiento de una Poltica de
Documentacin y Revisin
La auditora de datos implementada
directamente para satisfacer mandatos de
reguladores debe referirse directamente a los
elementos de las regulaciones que satisface:
(Sarbanes-Oxley, HIPAA, GLBA, etc.).
Monitorear, Alertar, Reportar
Dependiendo del riesgo, se deben atar los eventos o
datos anormales a los sistemas de alerta y, en algunos
casos disparar alarmas en tiempo real.
Incrementar y Complementar la Seguridad
La auditora de datos incrementa y complementa los
niveles de la seguridad de los sistemas de IT
Respaldo y Archivo
Los LOG de Auditora, por si mismas, deben ser
respaldadas y lo ideal, almacenadas en una sitio
remoto
Crear Procedimientos para la Operacin
y para la Recuperacin ante Desastres
Es necesario crear polticas y procedimientos
que gobiernen cmo se accede a las pistas
de auditora y cmo se recuperan los datos
perdidos
Todas las operaciones de recuperacin
tambin deben ser auditadas.
Conclusin
El acceso no autorizado o cambios
desconocidos a los datos de una organizacin
pueden debilitar o arruinar una empresa.
El robo, error, prdida, corrupcin o fraude de
los datos puede costarle a una compaa su
reputacin, sus ganancias, o ambos.
La auditora de datos no solamente protege los
datos de una organizacin, sino que asegura la
responsabilidad, la recuperacin y la longevidad
de los sistemas que dependen de los datos.