INGENIERÍA DE SISTEMAS E INFORMÁTICA

AUDITORIA DE SISTEMAS INFORMÁTICOS

I UNIDAD
Auditoría de Sistemas y Deontología
Sesión 01

LOGRO DE LA CLASE O SESIÓN

Al finalizar la unidad el estudiante reconoce los conceptos generales de la Auditoría Informática , la deontología y los
principios deontológicos para acercarse al perfil del auditor de sistemas.

En la clase: Reconoce la importancia de la auditoria y sus implicancias en su formación profesional, teniendo en cuenta
los principios deontológicos.

CONTENIDO DE LA SESIÓN

• Introducción a la Auditoría de Sistemas.

• La especialidad del auditor de sistemas.
Recordemos
Preguntas:

• ¿Cuáles son los aspectos relevantes de los Sistemas de

Información
¿Por qué especializarme en Seguridad y Auditoria de
Tecnologías y Sistemas de Información?

Visión de la Auditoria de Tecnologías de la Información

y Seguridad Informática
¿Dónde encontramos información?

Escrita
Documentos
Recursos de
Tecnología de Información

Hablada Electrónica

Conocimiento de las
Personas
Incidentes de Seguridad
30% incidentes externos

• Hackers
• Spam
• Virus

70% incidentes internos

• Robo
• Fraude
• Errores de usuarios
Ataques…
Captura de PC desde el exterior
Ingeniería social Robo de información
Destrucción de equipamiento
Mails “anónimos” con información crítica o con agresiones
Intercepción y modificación de e-mails
Violación de contraseñas
Violación de e-mails

Virus Incumplimiento de leyes y regulaciones Spamming

Fraudes informáticos Programas “bomba”
Propiedad de la Información
Interrupción de los servicios
Destrucción de soportes documentales
Acceso clandestino a redes
Acceso indebido a documentos impresos
Falsificación de información
para terceros Intercepción de comunicaciones
Indisponibilidad de información clave Robo o extravío de notebooks
Amenazas
Escalamiento de privilegios
Password cracking
Fraudes informáticos
Puertos vulnerables abiertos Exploits
Man in the middle Violación de la privacidad de los empleados
Servicios de log inexistentes o que no son chequeados

Denegación de servicio Backups inexistentes

Destrucción de equipamiento
Últimos parches no instalados
Instalaciones default
Desactualización Keylogging Port scanning

Hacking de Centrales Telefónicas

 Ataques…
Captura de PC desde el exterior
Ingeniería social Robo de información
Destrucción de
Mails “anónimos” con información crítica o con agresiones equipamiento
Intercepción y modificación de e-mails
Violación de
Violación de e-mails
contraseñas
Virus Incumplimiento de leyes y regulaciones Spamming
Fraudes informáticosProgramas “bomba”
Propiedad de la Información
Interrupción de los servicios
Destrucción de soportes documentales
Acceso clandestino a redes
Acceso indebido a documentos impresos
Falsificación de información
para terceros Intercepción de comunicaciones
Indisponibilidad de información Robo o extravío de
clave notebooks
 Más Amenazas!!
Spamming
Violación de contraseñas Intercepción y modificación y violación de e-mails
Captura de PC desde el exterior
Virus Incumplimiento de leyes y regulaciones
Ingeniería social
empleados deshonestos

Mails anónimos con agresiones

Programas “bomba, troyanos”
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks, palms

Acceso indebido a documentos impresos

Propiedad de la información
Indisponibilidad de información clave
Robo de información
Intercepción de comunicaciones voz y
Falsificación de información wireless
Agujeros de seguridad de redes conectadas
para terceros
¿Qué hacemos?
VIDEO
http://www.youtube.com/watch?v=vEeP9DbAKag
Cumplimiento de leyes y regulaciones
Visión de la Seguridad
de la Información
Auditoria de Sistemas de Información
 ¿Dónde interviene la Seguridad de la Información?

… en toda la Organización

Seguridad de
la
Información
Metodología de implantación de un SGSI
 ISO/IEC 27000
Conjunto de estándares desarrollados (o en fase de desarrollo)
por ISO (International Organization for Standarization) e IEC
(International Electrotechnical Commission).

BSI (British Standards Institution).

BS 7799-1: Guía de buenas prácticas

BS 7799-2 (1998): Establece los requisitos de un SGSI para ser

certificable.
Visión de la Auditoría de SI

(Ramírez y Álvarez, 2003)

Seguridad de la Información
Auditoria de Sistemas de Información
 MODELO DE LA EMPRESA
Misión, Objetivos, Metas, Estrategias,
Políticas
Análisis de las Factores críticos de éxito.
Análisis de las Fortalezas y Debilidades.
Análisis de las Oportunidades y Riesgos
MODELO DEL NEGOCIO
Funciones
Procesos
Actividades
Requerimientos de información
Entidades
ARQUITECTURA DE LA ARQUITECTURA TECNOLÓGICA
ARQUITECTURA DE DATOS
INFORMACIÓN
Entidades agrupadas en las Diagrama de la ubicación de las
Sistemas de Información fraccionados
Bases de Datos Sujeto Bases de Datos y las
en módulos de Proyectos
Esquema de desarrollo de Aplicaciones
Prioridades de los módulos del
las Bases de Datos Selección de Hardware y
Proyecto
Software
Esquema de desarrollo de Proyectos
Redes de Comunicaciones
Sistemas de Seguridad
Resumen
ACTIVIDAD PRACTICA
Elabora mapa mental con los conceptos planteados en clase.
Presentación del curso.
Prueba de entrada.