Catedrtico: ing. Marilyn De Len Morgan Alumnos: Chirino Sols Cristian Soto Vzquez Roli Robles Aguilar Rafael Anaximandro Solares Morales Joram Ali Jarquin Ley Daniel
Trabajo: Ensayo
Temas: Auditoria de base de datos Auditoria de sistemas Vulnerabilidades, amenazas y riesgos Auditoria en las telecomunicaciones Gobierno del TI Normas de la auditoria Tecnologas de informacin
Tapachula Chiapas a 30 de mayo del 2014. Introduccin
Para el buen complimiento de las tareas que cada integrante de una empresa es necesario llevar el control de sus actividades y los recursos que este utiliza para esto. Por lo cual para poder comprobar que todos los recursos estn siendo utilizados de forma correcta se realiza, el proceso de la auditoria, que consiste en verificar que los procesos se realizan correctamente y con los recursos necesarios en una empresa para que todo marche de forma segura. Al igual que en las empresas tambin en los sistemas de informacin se tienen que comprobar que se est trabajando correctamente, esto se logra realizando una auditoria informtica. por ejemplo: la auditoria en las base de datos, la cual consiste en el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las base de datos, y as poder saber Quin accede a los datos, Cundo se accedi a los datos,Desde qu tipo de dispositivo/aplicacin se realiz,Desde que ubicacin en la Red, Cul fue la sentencia SQL ejecutada, Cul fue el efecto del acceso a la base de datos, entre otras cosas. Gracias a la auditoria de sistemas podemos saber si contamos con puntos esenciales como la seguridad y el control, es decir si existen Riesgos, que son las vulnerabilidades y las amenazas que nos pueden afectar en cualquier momento y causar prdidas para la empresa.
Desarrollo Auditoria en los sistemas Informacin. Este es el proceso por el cual podemos medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las base de datos e incluso contar con la capacidad de determinar, quin accede a los datos, cundo se accedi a los datos, desde qu tipo de dispositivo/aplicacin se realizo, desde que ubicacin en la Red, entre otros. Objetivos Principales Gracias a la auditoria poder monitorear y registrar el uso de los datos por los usuariosautorizados o no, mantener trazas de uso y del acceso a bases de datos, permitir investigaciones y generar alertas en tiempo real. Verificar correccin diseo lgico + diseo fsico (en especial asociaciones de elementos, restricciones oportunas, especificaciones almacenamiento y seguridad). Adems todos los diseos deben estar autorizados, al menos por los usuarios, pero es recomendable que tambin por la direccin, si la carga proviene de una migracin de otro entorno, se debe establecer un paralelo durante cierto tiempo para ver qu resultados son iguales. Explotacin y mantenimiento Para lograr esto se recomienda vedificacin que existen procedimientos de explotacin aprobados y que el contenido / mantenimiento de los sistemas slo se realizan mediante la autorizacin adecuada. Por ello la auditoria de sistemas es la verificacin de controles en el procesamiento de la informacin, del desarrollo de sistemas e instalacin con el objetivo evaluar su efectividad y presentar recomendaciones ante la gerencia. Mantenimiento y soporte es una de las responsabilidades de la auditoria de mantenimiento, la cual se encarga de detectar que el activo de la empresa se encuentre bien y observar las reas deben de ser mejoradas. Su principal objetivo es hacer las recomendaciones a la alta administracin tanto para fortalecer los controles internos existentes o para sugerir nuevos controles, como para promover la eficiencia de los procedimientos existentes, despus de evaluarlos. La seguridad y el control juegan otro papel muy importante pues las amenazas al sistema y vulnerabilidades suelen ocurrir sin previo aviso por lo cual se puede perder informacin valiosa para la empresa. La seguridad se puede ver reflejada en los siguientes puntos: la validacin de los datos de entrada, controles de procesamiento interno, autenticacin de mensajes y la validacin de datos de salida. Para evitar de manerasms exactas las amenazas y los riesgosel auditor debe verificar que se tengan presente y se implementen medidas que a partir de los riesgos planteados y dada la importancia del sistema para la organizacin se minimicen. Entre las amenazas ms comunes tenemos a Hacking: Este usa al entrar en forma ilegal y sin el consentimiento del propietario en su sistema informtico, Crackeador o crack: estos son programas que se utilizan para desproteger o sistema que consiste en probar distintas contraseas hasta encontrar la adecuada, Ingeniera Social:Esta es una tcnica por la cual se convence a alguien, por diversos medios, de que proporcione informacin til para poder hackearlo, Spams:No es un cdigo daino, pero s bastante molesto. Es un programa que ejecuta una orden repetidas veces, por mencionar algunos. Por todo esto el perfil de un auditor informtico en redes y telecomunicaciones es el que corresponde a un Ingeniero en Informtica o en Sistemas especializado en el rea de telemtica. A continuacin daremos a conocer algunos puntos importantes para conocer Por qu y Para qu se hace la Auditoria Informtica en Redes y Telecomunicaciones? Asegurar la integridad, confidencialidad y confiabilidad de la informacin, minimizar existencias de riesgos en el uso de Tecnologa de informacin, conocer la situacin actual del rea informtica para lograr los objetivos e Incrementar la satisfaccin de los usuarios de los sistemas informticos, Por mencionar algunos de ellos. Un aspecto fundamental de la seguridad de las comunicaciones es la necesidad de que las mismas sean confidenciales, es decir, secretas. Para alcanzar estos objetivos, se dispone de diversas soluciones tecnolgicas, el cifrado o criptografa de datos es uno de los ms importantes. Gobernanza de las Tecnologas de informacin Este es el alineamiento de las Tecnologas de la informacin y la comunicacin (TI) con la estrategia del negocio. Hereda las metas y la estrategia a todos los departamentos de la empresa, y proporciona el mejor uso de la tecnologa y de sus estructuras organizativas para alcanzarlas. Qu es Gobernabilidad TI? La disciplina de la Gobernabilidad TI deriva de la Gobernabilidad Corporativa, y trata principalmente de la relacin entre el negocio y la gestin informtica de una organizacin. Los objetivos principales de la Gobernabilidad TI son: Asegurarque las inversiones en TI generen valor comercial y mitigar los riesgos asociados a las TI. La Gobernabilidad TI es soportada por otras disciplinas como son: gestin del portafolio TI, Arquitectura Corporativa Enterprise Architecture, gestin de proyectos informticos y gestin de los servicios TI. Las normas de Auditora Son las condiciones mnimas del perfil que debe poseer el contador pblico, sus actitudes y aptitudes personales, para seguir obligatoriamente su aplicacin en cada proceso de su actividad como auditor. Clasificacin de las normas de auditora generalmente aceptadas. Personales, relativas a la ejecucin del trabajo, relativas a la informacin. Desarrollo de Sistemas de Informacin
Sugerencias para minimizar los riesgos: Define el problema o la oportunidad claramente, estima y re-estima la realizacin del proyecto, utiliza tcnicas apropiadas de administracin de proyectos y herramientas para el desarrollo de sistemas, asigna y/o despide a las personas correctas y asegura controles apropiados y reforzados. Roles en el desarrollo de Sistemas de Informacin: son los siguientes, el usuario, el analista de negocios, analista de sistema, programador, administrador de base de datos, analista de infraestructura, analista de administracin de cambios y administrador de proyecto.
Las tecnologas de informacin son todas aquellas herramientas y mtodos empleados para recabar, retener, manipular o distribuir informacin. Son importantes por ser un elemento crtico para el xito y la supervivencia de las organizaciones, adems por su creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin.