Actividad 2 (RECURSOS INFORMATIVOS Y DE CONOCIMIENTO)
Actividad 2
RECURSOS INFORMATIVOS Y DE
CONOCIMIENTO
MELISSA CASTILLO VILLARREAL
ID: 100063476
CORPORACION UNIVERSITARIA IBEROAMERICANA
FACULTAD DE CIENCIAS EMPRESARIALES
LINEA DE ENFASIS
(AUDITORIA DE SISTEMAS)
TUTOR: ROSA MORA
GIRARDOT
2021
INDRODUCCION
La
complejidad y evolución de los sistemas de información hace necesaria la
aparición de profesionales informáticos que se encarguen de evaluar su correcto
funcionamiento y detectar aquellos puntos débiles que requieran la adopción de
medidas correctivas y preventivas para evitar pérdidas de información relevante
que podrían conllevar costes importantes a las organizaciones. Por este motivo,
la figura del auditor informático se hace cada vez más presente en las
organizaciones: un profesional independiente que evalúe la eficiencia de sus
sistemas informáticos y que sea capaz de formular recomendaciones y propuestas
de mejora con la finalidad de mantener la integridad y exactitud de los datos y
así garantizar un servicio correcto dentro de unos estándares de calidad.
La
auditoría es el análisis exhaustivo de los sistemas informáticos con la
finalidad de detectar, identificar y describir las distintas vulnerabilidades
que puedan presentarse. En el momento de desempeñar las funciones de auditoría
en un sistema de información, los auditores deben cumplir una serie de normas
éticas y un código deontológico para cumplir con profesionalidad y rigidez sus
objetivos. El código deontológico consiste en una serie de preceptos en los que
se determinan los derechos exigibles a ciertos profesionales cuando desempeñan
su actividad con el fin de ajustar los comportamientos profesionales a unos
principios éticos y morales adecuados.
El objetivo de este blog
es conocer las componentes que
caracterizan la estructura de los recursos informativos y de conocimiento para
lograr una mejor seguridad de los mismos.
DESARROLLO
Conceptos
de Auditoría de Sistemas La palabra auditoría viene del latín auditorius y de esta
proviene auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar
encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia
con que se está operando para que, por medio del señalamiento decursos
alternativos de acción, se tomen decisiones que permitan corregir los errores,
en caso de que existan, o bien mejorar la forma de actuación. Algunos autores
proporcionan otros conceptos pero todos coinciden en hacer énfasis en la
revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a
un objetivo específico en el ambiente computacional y los sistemas.
Conceptos recogidos de algunos expertos en la
materia: Auditoría de Sistemas es:
·
La verificación de controles en el
procesamiento de la información, desarrollo de sistemas e instalación con el
objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
·
La actividad dirigida a verificar y juzgar
información.
· El examen y evaluación de los procesos del Área de Procesamiento
automático de Datos (PAD) y de la utilización de los recursos que en ellos
intervienen, para llegar a establecer el grado de eficiencia, efectividad y
economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias
existentes y mejorarlas. En el proceso
de recolección y evaluación de evidencia para determinar si un sistema
automatizado:
I.
Daños
II.
Salvaguarda
III.
activos Destrucción
IV.
Uso no autorizado
V.
Robo
VI.
Mantiene Integridad de
Información Precisa,
VII.
los datos Completa
VIII.
Oportuna
· Confiable Alcanza metas Contribución de la organizacionales función informática. Consume recursos Utiliza los recursos adecuadamente eficientemente en el procesamiento de la información
Es el
examen o revisión de carácter objetivo (independiente), crítico(evidencia),
sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas,
funciones, procesos, procedimientos e informes relacionados con los sistemas de
información computarizados, con el fin de emitir una opinión profesional
(imparcial) con respecto a: Eficiencia
en el uso de los recursos informáticos + Validez de la información +
Efectividad de los controles establecidos.
Objetivos
Generales de una Auditoría de Sistemas
Buscar
una mejor relación costo-beneficio de los sistemas automáticos o computarizados
diseñados e implantados por el PAD + Incrementar la satisfacción de los
usuarios de los sistemas computarizados
Asegurar
una mayor integridad, confidencialidad y confiabilidad de la información
mediante la recomendación de seguridades y controles.
· Conocer la situación actual del área
informática y las actividades y esfuerzos necesarios para lograr los objetivos
propuestos.
· Seguridad de personal, datos, hardware,
software e instalaciones
·
Apoyo de
función informática a las metas y objetivos de la organización.
·
Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informático
·
Minimizar existencias de riesgos en el uso de
Tecnología de información
·
Decisiones de inversión y gastos innecesarios
·
Capacitación y educación sobre controles en los
Sistemas de Información
Justificativos para efectuar una Auditoría
de Sistemas
·
Aumento considerable e injustificado del
presupuesto del PAD (Departamento de Procesamiento de Datos)
·
Desconocimiento en el nivel directivo de la
situación informática de la empresa
·
Falta total o parcial de seguridades lógicas y físicas
que garanticen la integridad del personal, equipos e información.
·
Descubrimiento de fraudes efectuados con el
computador
·
Falta de una planificación informática
·
Organización que no funciona correctamente, falta
de políticas, objetivos, normas, metodología, asignación de tareas y adecuada
administración del Recurso Humano
· Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
· Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción Controles Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.
La auditoría informática de
sistemas se encarga de analizar las actividades relacionadas con en el entorno
de sistemas informáticos. Más concretamente, en esta tipología se analizan los
siguientes componentes:
·
Sistemas
operativos: se comprueba si están actualizados y, en caso
de no estarlo, se averiguan las causas de la desactualización. También se
analizan posibles incompatibilidades de software ocasionadas por el sistema
operativo.
·
Software
básico: se analizan las distintas aplicaciones instaladas para
verificar que no agreden ni condicionan al sistema operativo.
·
Tunning: se
evalúan las distintas técnicas y medidas de evaluación de los comportamientos
del sistema y de los subsistemas.
·
Optimización
de los sistemas y subsistemas: la auditoría comprobará que
las acciones de optimización de sistemas y subsistemas son efectivas y que no
se compromete su operatividad.
· Administración de las bases de datos: el auditor se asegurará del conocimiento de los distintos procedimientos de la base de datos y comprobará la seguridad, la integridad y la consistencia de los datos.
· Investigación y desarrollo: la auditoría se encargará de mantener la actividad de investigación y desarrollo, impidiendo que por estas se dificulten procesos y tareas fundamentales.
Herramientas
de la Auditoría de Sistemas
Los auditores de seguridad
informática, para desarrollar sus tareas y buscar posibles fallos y amenazas
del sistema de información, muy frecuentemente se apoyan en herramientas que
analizan cada uno de los distintos aspectos de la auditoría. Debido a la gran
variedad de vulnerabilidades existentes, las herramientas encargadas de su
detección y análisis son abundantes y variadas. Aunque la experiencia y los
conocimientos del auditor son imprescindibles para el correcto desarrollo de la
auditoría, siempre es recomendable que el auditor disponga de herramientas de
análisis de red, puertos y servicios, herramientas de análisis de protocolos,
herramientas de ataque de diccionario y de fuerza bruta, etc., además de las
herramientas internas de cada sistema operativo.
· Herramientas del sistema operativo tipo Ping, Traceroute, etc. Dentro de las tareas de la auditoría informática, está la comprobación del correcto funcionamiento de las redes del sistema de información. Para ello, hay dos herramientas fundamentales: ping y traceroute, entre otras. En ambas herramientas, se puede detectar si existe alguna anomalía de red, comprobar el alcance de esta anomalía y, además, cuáles han sido los servicios que se han hecho inaccesibles por la incidencia.
· · Herramienta whois La herramienta whois se utiliza para realizar consultas en una base de da- tos de Internet con la finalidad de obtener información sobre alguna IP, algún dominio o alguna organización determinados.
· · Herramienta NSLookup La herramienta Name System Lookup o NSlookup se utiliza como herramienta de diagnóstico para la detección de problemas de configuración en el DNS. Esta detección la realiza mediante consultas a un servidor DNS para la obtención de información sobre algún dominio o host de una red determinada.
En
la auditoría de sistemas. Frecuentemente (por no decir siempre) se
utilizan herramientas que ayuden en la detección de fallos y vulnerabilidades
que permitan estimar el riesgo del sistema de información y formular medidas
correctivas y controles. Por una parte, dentro del mismo sistema operativo de
los equipos se encuentran varias herramientas de auditoría, como ping o
traceroute, que permiten detectar fallos y anomalías en su red. Además, se
recomienda que el auditor disponga de herramientas que analicen la red, los
puertos y los servicios configurados en esta para detectar posibles vías de
entrada de intrusos y tráfico de red inusual que ofrezca indicios de amenaza.
Ejemplos de estas herramientas
son Netcat, Nmap y NBTScan. También sirven para evaluar la seguridad de una red
los analizadores de protocolos, que analizan paquetes de datos que se transmiten
en la red para detectar errores de configuración, de conexión, etc.
Otra herramienta fundamental y
de gran utilidad para el auditor es Nessus, un analizador de vulnerabilidades
capaz de identificarlas, emitir informes con los resultados obtenidos y
formular propuestas de solución.
Por otra parte y a nivel
externo, existen los analizadores de páginas web, cuya función principal es
conocer la estructura de los sitios web y detectar sus vulnerabilidades para
evitar que sufran ataques de seguridad. Estas herramientas, junto con los las
herramientas de ataques de diccionario y fuerza bruta, sirven para que el
auditor detecte vías de ataque e intrusiones, que deberán ser solucionadas para
disminuir el riesgo del sistema de información y de la organización en general.
CONCLUSION.
Con la actividad realizada se
concluye que la auditoria de sistemas es la revisión y la evolución de los
controles de sistemas y procedimientos de informáticas. Su buena utilización, eficiencia
y seguridad de los procesamientos de información lograran resultados
que servirán para una adecuada
toma de decisión.
La auditoría de sistema
comprende no solo la evaluación de los equipo
de cómputo. Si no que además habrá de evaluar los sistemas de información general desde entradas,
procedimientos, controles. Archivos, seguridad y obtención de información.
Bibliografía
E., E. C. (2015). Auditoria de Seguridad Informatica.
Antequera: IC Editorial.
Naranjo, A. (2009). Conceptos
de la auditoria de sistemas. Santa Fe, Argentina, Argentina: El Cid
Editor.
H
Comentarios
Publicar un comentario