Issues de auditoria de sistemas
Páginas: 33 (8038 palabras)
Publicado: 29 de junio de 2010
[pic][pic][pic]
“Issues de Auditoría Sistemas”
Seguridad de la información
Materia
Auditoria y Control de Sistemas de Información
INDICE DE CONTENIDOS
1. Introducción
a. Objetivo General y Alcance
b. Visión del Problema
2. Desarrollo
a. Políticas de Control de Accesos Lógicos
b. Software de Acceso
c. Implementación de unControl Confiable
i. Responsabilidad de los Usuarios
ii. Administración de Accesos de Usuarios
iii. Procedimiento de administración de usuarios
3. Papel del Auditor
4. Relación Costo – Beneficio
5. Relación Seguridad – Practicidad
6. Conclusión
7. Consejos del Auditor según el Martín Fierro
8. Anexo InformaciónComplementaria
1. INTRODUCCION
a) OBJETIVO GENERAL
En el presente trabajo se propondrán los controles necesarios que les permitirá a las organizaciones tratar las principales cuestiones de auditoría de la actualidad relacionados con permisos de accesos lógicos indebidos, la carencia de “logs” de auditoría sobre el otorgamiento de accesos y su utilización, y el cumplimiento de políticasy procedimientos de control de acceso.
La falta de controles sobre dichos puntos constituye una de las causas más importantes de la pérdida de información, que puede derivar de diversos orígenes. El alcance de este trabajo se centrara en la apropiación indebida de activos, como consecuencia de los puntos enumerados en el párrafo anterior.
Desde la perspectiva de la auditoria desistemas se propondrá principalmente soluciones de tipo preventivas para que las empresas puedan implementar con el objetivo de disminuir los riesgos mencionados.
Para ello tomaremos como principal referencia normativa:
-La Norma IRAM-ISO IEC 17799, considerando en todo momento, confidencialidad, integridad y disponibilidad de la información; evaluación y administración de riesgos.-El conjunto de mejores prácticas para el manejo de información establecido por “Cobit”, específicamente en lo referente a supervisión y evaluación de controles internos y ejercicio de una auditoria independiente.
-La Resolución técnica nº 7, en los aspectos establecidos como Normas de Auditoria General, en lo que se refiere a la obtención de elementos de juicios válidos y suficientes.-El informe nº 16, en lo referente a procedimientos de auditoria a realizar para determinar la satisfacción de las políticas y las herramientas de control de accesos empleadas.
b) VISION DEL PROBLEMA
Actualmente una de las principales preocupaciones de las organizaciones la constituye el robo o la pérdida de información, un riesgo frente al cual se consideran altamentevulnerables.
En países como la Argentina predominan modos "a la antigua": el fraude interno, de hecho, es el más común. La falta de controles es, claramente, el caldo de cultivo para que cualquier empleado pueda generar un fraude en beneficio propio y en desmedro de la empresa. De acuerdo a la encuesta “The Global State of Security Information 2007” realizada por PriceWaterhouseCooper y CXO Mediaconjuntamente, alrededor del 84% de los incidentes o ataques provienen desde adentro de la empresa (Ver Nota Anexa).
En los últimos años, también han crecido en gran proporción el robo de identidad y el abuso de la propiedad intelectual.
A diferencia del atacante externo, los empleados de una empresa poseen conocimiento y disponen de mayores oportunidades para explotarvulnerabilidades existentes. Por esta razón, el fraude interno sigue siendo altamente costoso y difícil de identificar, el ambiente de control interno, la cultura organizacional de prevención y la ejecución rápida de acciones asertivas al presentarse situaciones de este tipo, son fundamentales para su minimización.
La apropiación indebida de activos esta íntimamente ligada al crimen informático, pues...
“Issues de Auditoría Sistemas”
Seguridad de la información
Materia
Auditoria y Control de Sistemas de Información
INDICE DE CONTENIDOS
1. Introducción
a. Objetivo General y Alcance
b. Visión del Problema
2. Desarrollo
a. Políticas de Control de Accesos Lógicos
b. Software de Acceso
c. Implementación de unControl Confiable
i. Responsabilidad de los Usuarios
ii. Administración de Accesos de Usuarios
iii. Procedimiento de administración de usuarios
3. Papel del Auditor
4. Relación Costo – Beneficio
5. Relación Seguridad – Practicidad
6. Conclusión
7. Consejos del Auditor según el Martín Fierro
8. Anexo InformaciónComplementaria
1. INTRODUCCION
a) OBJETIVO GENERAL
En el presente trabajo se propondrán los controles necesarios que les permitirá a las organizaciones tratar las principales cuestiones de auditoría de la actualidad relacionados con permisos de accesos lógicos indebidos, la carencia de “logs” de auditoría sobre el otorgamiento de accesos y su utilización, y el cumplimiento de políticasy procedimientos de control de acceso.
La falta de controles sobre dichos puntos constituye una de las causas más importantes de la pérdida de información, que puede derivar de diversos orígenes. El alcance de este trabajo se centrara en la apropiación indebida de activos, como consecuencia de los puntos enumerados en el párrafo anterior.
Desde la perspectiva de la auditoria desistemas se propondrá principalmente soluciones de tipo preventivas para que las empresas puedan implementar con el objetivo de disminuir los riesgos mencionados.
Para ello tomaremos como principal referencia normativa:
-La Norma IRAM-ISO IEC 17799, considerando en todo momento, confidencialidad, integridad y disponibilidad de la información; evaluación y administración de riesgos.-El conjunto de mejores prácticas para el manejo de información establecido por “Cobit”, específicamente en lo referente a supervisión y evaluación de controles internos y ejercicio de una auditoria independiente.
-La Resolución técnica nº 7, en los aspectos establecidos como Normas de Auditoria General, en lo que se refiere a la obtención de elementos de juicios válidos y suficientes.-El informe nº 16, en lo referente a procedimientos de auditoria a realizar para determinar la satisfacción de las políticas y las herramientas de control de accesos empleadas.
b) VISION DEL PROBLEMA
Actualmente una de las principales preocupaciones de las organizaciones la constituye el robo o la pérdida de información, un riesgo frente al cual se consideran altamentevulnerables.
En países como la Argentina predominan modos "a la antigua": el fraude interno, de hecho, es el más común. La falta de controles es, claramente, el caldo de cultivo para que cualquier empleado pueda generar un fraude en beneficio propio y en desmedro de la empresa. De acuerdo a la encuesta “The Global State of Security Information 2007” realizada por PriceWaterhouseCooper y CXO Mediaconjuntamente, alrededor del 84% de los incidentes o ataques provienen desde adentro de la empresa (Ver Nota Anexa).
En los últimos años, también han crecido en gran proporción el robo de identidad y el abuso de la propiedad intelectual.
A diferencia del atacante externo, los empleados de una empresa poseen conocimiento y disponen de mayores oportunidades para explotarvulnerabilidades existentes. Por esta razón, el fraude interno sigue siendo altamente costoso y difícil de identificar, el ambiente de control interno, la cultura organizacional de prevención y la ejecución rápida de acciones asertivas al presentarse situaciones de este tipo, son fundamentales para su minimización.
La apropiación indebida de activos esta íntimamente ligada al crimen informático, pues...
Leer documento completo
Regístrate para leer el documento completo.