Agenda Importancia de Controlar los Sistemas de
Información Amenazas a los Sistemas de Información
Entorno de Control de los Sistemas Información Auditoria
de Sistemas Aseguramiento de la Calidad de Software
Importancia de Controlar los S.I. Dado el alto grado de
penetración de la informática en la vida cotidiana
doméstica y organizacional, cualquier tipo de fallo en los
sistemas de información pueden producir catástrofes
importantes. A los efectos de minimizar el impacto de las
amenazas, las empresas necesitan implementar un sistema de
control del sistema de información. Conceptos importantes:
Amenazas ? Riesgo latente, acción que genera temor.
Controles ? Intervenciones realizadas con el objeto de prevenir
cualquier posible desvío respecto a lo que se
pretendía. Seguridad ? Políticas, procedimientos y
medidas técnicas que se aplican para evitar cualquier tipo
de fallo, robo, alteración a los S.I.
Amenazas a los Sistemas de Información (Gp:) Problemas de
Telecomunicaciones (Gp:) Alto Intercambio de información
que aumenta los canales de acceso a los datos desde diferentes
fuentes. Fallos en establecer y/ó mantener una
comunicación. Cortes de comunicación inesperado.
Falta de señal en redes inalámbricas. (Gp:)
Descripción de las mismas (Gp:) Amenaza (Gp:) Acceso no
autorizado a una red de computadoras. Este acceso puede o no
contar con robo ú alteración al sistema y/ó
sus datos. _Cuando una persona realiza la intrusión: Se
las llama genéricamente “Hackers”. Sin
embargo, existe una denominación específica de
acuerdo al tipo de vandalismo informático, a saber: ?
Cracker ? Phreaker ? Hacker ? Pirata informático ? Carding
? Trashing _Cuando se trata de una intrusión mediante un
programa, esto se conoce como “Virus”. Existen varios
tiposde virus: ? Virus mutantes o polimórficos ? Virus de
Booteo ? Virus de macros ? Virus de archivo ? Caballo de Troya ?
Gusanos o Worms. ? Virus de sobreescritura ? Virus residentes ?
Etc. (Gp:) Intrusión
Amenazas a los Sistemas de Información (Cont) (Gp:) Robo
(Gp:) Puede ser de información, datos y/ó de
equipos o soportes físicos (Gp:) Descripción de las
mismas (Gp:) Amenaza (Gp:) Rotura de equipos Catástrofes
del entorno Virus (Gp:) Fallos de Hardware (Gp:) Fallos de
Software (Gp:) Errores en la codificación del Software
(Bugs) Errores producidos en el ingreso de los datos. Virus
Errores producidos por el volumen (ya sea de usuarios
concurrentes, de procesos activos, etc) Los errores llevan a una
mala calidad de la información y pueden impactar
negativamente en la toma de decisiones. (Gp:) Catástrofes
(Gp:) Incendios Fallos en el suministro eléctrico
Inundaciones Sismos
Amenazas a los Sistemas de Información (Cont.) Origen de
las amenazas: Factores técnicos Factores de
organización Factores del entorno. Combinados con malas
decisiones gerenciales o la falta de decisión. Virus
informático: software que puede Destruir datos Perturbar
el normal funcionamiento del procesador Vulnerar la privacidad y
confidencialidad de la información Bloquear y/o
congestionar el tráfico en las redes e Internet Etc.
Entorno de Control de los Sistemas Información La
implementación de controles minimiza los riesgos a los que
están expuestos los S.I. Los controles son una
combinación de medidas manuales y automatizadas que cuidan
de la seguridad de los activos, la exactitud y fiabilidad de los
registros contables y el cumplimiento operativo de las normas
gerenciales. Tipos de controles: Controles Generales ? Controles
amplios que monitorean el funcionamiento eficaz de los
procedimientos programados en todas las Areas de
aplicación. Controles de Aplicación ? Controles
específicos y exclusivos de cada una de las aplicaciones
computarizadas.
Entorno de Control de los Sistemas Información (Cont)
(Gp:) Control de Implementación (Gp:) Audita el proceso de
desarrollo de sistemas para asegurar que siga las pautas de
calidad para el desarrollo, conversiones y pruebas. (Gp:)
Descripción de los mismos (Gp:) Controles Generales (Gp:)
Control de Software (Gp:) Control de Hardware (Gp:) Control de
Operaciones de Computación (Gp:) Monitorea el uso del
software de sistemas y evita el acceso no autorizado a los
programas de aplicación y al software de sistemas. (Gp:)
Cuida que el equipo esté protegido físicamente
contra incendios y extremos de temperatura y humedad. Debe
garantizar la continuidad operativa ante desastres, implementando
respaldos tanto de hardware como de datos. (Gp:) Ejercido sobre
la labor del centro de cómputos. Garantiza que los
procedimientos programados se apliquen de forma congruente y
correcta al almacenamiento y procesamiento de datos. (Gp:)
Normas, reglas, procedimientos y disciplinas de control
formalizados. Asegura que los controles generales y de
aplicación de la organización se apliquen y cumplan
debidamente. (Gp:) Control de Seguridad de los datos (Gp:)
Control Administrativo (Gp:) Garantiza que los archivos de datos
de negocios no sufran accesos no autorizados, alteraciones o
destrucción.
Entorno de Control de los Sistemas Información (Cont)
(Gp:) Control de Entrada (Gp:) Verifica la exactitud e integridad
de los datos cuando entran en el sistema. Son controles para
evitar errores en las entradas, conversiones y/ó ediciones
de datos. Es posible establecer totales de control. (Gp:)
Descripción de los mismos (Gp:) Controles de
Aplicación (Gp:) Control de Procesamiento (Gp:) Control de
Salida (Gp:) Monitorea que los resultados del procesamiento sean
correctos, estén completos y se distribuyan debidamente
(Gp:) Determina si los datos están completos y son exactos
durante la actualización. Se pueden establecer totales de
control de serie, el cotejo por computadora y verificaciones de
edición.
¿Qué medidas se pueden implementar para las
amenazas existentes? (Algunos ejemplos) Virus ? Antivirus, no
permitir el uso de disquettes para el traslado de
información. Personas intrusas ? Firewalls, Sistemas de
detección de intrusiones. Desastres ? Resguardos completos
y/ó incrementales, Espejado de discos, Planes de
Recuperación en caso de desastres. Fallos de Software ?
Controles de entrada, Implementar metodología
estandarizada para el desarrollo/mantenimiento de sistemas y
efectuar auditorías sobre el uso de la misma, Controles de
salida. Problemas de telecomunicación ? Cifrado, Firma
Digital, Certificado Digital, Integridad del mensaje. Seguridad
en Transacc. Electrónicas ? Transmisión
Electrónica Inviolable (SET- Tarj. Crédito), E-
cash Entorno de Control de los Sistemas Información
(Cont)
Auditoria de Sistemas La Auditoria de Sistemas se ejerce sobre
los procesos de control implementados. Las tareas de la Auditoria
son: Analizar exhaustivamente el cumplimiento de todos los
controles que rigen sobre los sistemas de información
Enumerar las deficiencias de control detectadas. Estimar la
probabilidad de ocurrencia de las deficiencias mencionadas
Evaluar el impacto en las finanzas y en la organización de
dichas deficiencias Proponer posibles mejoras en los controles
que se efectúan. Las técnicas posibles de utilizar
en la auditoria son: Entrevistas y revisión de
documentación. Control del flujo completo de
transacciones. Utilización de herramientas de auditoria
automatizadas.
Aseguramiento de la Calidad del Software Definiciones
Importantes: Calidad, Calidad del Software Aseguramiento de la
Calidad Soluciones a los principales problemas de calidad del
Software: Uso de metodologías apropiadas Asignación
de los recursos necesarios durante el desarrollo
Implementación de métricas de software Desarrollo
de pruebas exhaustivas Utilización de herramientas de
calidad. Actualmente existen estándares internacionales
que detallan los elementos necesarios y los pasos a seguir para
asegurar la calidad del proceso de
desarrollo/implementación de Sistemas. ISO 9000-3 CMM