Transcription of Seguridad en informática. Tesis completa
1 UNIVERSIDAD IBEROAMERICANA Estudios con Reconocimiento de Validez Oficial por Decreto Presidencial Del 3 de abril de 1981 Seguridad EN inform TICA (AUDITOR A DE SISTEMAS) Tesis Que para obtener el grado de MAESTRO EN INGENIER A DE SISTEMAS EMPRESARIALES P r e s e n t a LUIS DANIEL ALVAREZ BASALD A. Director de la Tesis : Maestro Pedro Solares Soto. Lectores de la Tesis : Maestro H ctor Manuel Fragoso Trejo. Maestro Jorge Rivera Albarr n. M xico, D. F. 2005. INDICE Introducci Cap tulo Planeaci n de Seguridad en redes.
2 Planeaci n de Seguridad en Pol tica de Seguridad del Planteamiento de la pol tica de C mo asegurar la responsabilidad hacia la pol tica de An lisis de Identificaci n de recursos ..11 Identificaci n de las Definici n del acceso no Riesgo de revelaci n de informaci Negaci n del Cap tulo Uso y responsabilidades de la red. Uso y responsabilidades de la Identificaci n de quien esta autorizado para usar los recursos de la Identificaci n del uso adecuado de los Qui n esta autorizado para conceder acceso y aprobar el C mo dise ar una pol tica de Determinaci n de las responsabilidades del Determinaci n de las responsabilidades del administrador de Qu hacer con la informaci n Cap tulo Pol ticas de Seguridad .
3 Plan de accion cuando se viole la politica de Respuesta a las violaciones de la pol Respuesta a las violaciones de la pol tica por usuarios Estrategias de Definici n de responsabilidades para ser buen ciudadano de Contactos y responsabilidades con organizaciones Interpretaci n y publicaci n de la pol tica de Identificaci n y prevenci n de problemas de Implementaci n de controles costeables para la pol Procedimientos de Procedimientos de recuperaci Procedimiento de reporte de problemas para los administradores del 2 Cap tulo Auditoria de sistemas. Auditoria de Sistemas ..45 Planeaci n de la Auditoria en inform Evaluaci n de Sistemas.
4 48 Evaluaci n del An Evaluaci n del Dise o L gico del Sistema ..50 Evaluaci n del Desarrollo del Sistema ..55 Control de Control de Dise o de Sistemas y Programaci Instructivos de Operaci Forma de Implementaci Entrevista a Cap tulo Seguridad en centros de c mputo. Orden en el Centro de C Evaluaci n de la Configuraci n del Sistema de C Seguridad L gica y Seguridad F Seguridad en la Utilizaci n del Seguridad al Restaurar el Procedimientos de Respaldo en Caso de Cap tulo Est ndares internacionales para tecnolog as de la informaci n. Marco Informaci Recursos de tecnolog a de la informaci Planeaci n y organizaci Adquisici n e implementaci Entrega y Resumen Certificaci n Caso de Anexo Anexo Anexo 3 INTRODUCCI N Los trascendentales cambios operados en el mundo moderno, caracterizados por su incesante desarrollo; la acelerada globalizaci n de la econom a, la acentuada dependencia que incorpora en alto volumen de informaci n y los sistemas que la proveen; el aumento de la vulnerabilidad y el amplio espectro de amenazas, tales como las amenazas cibern ticas.
5 La escala y los costos de las inversiones actuales y futuras en informaci n y en sistemas de informaci n; y el potencial que poseen las tecnolog as para cambiar dr sticamente las organizaciones y las pr cticas de negocio, crear nuevas oportunidades y reducir costos, han impuesto nuevos retos a la pr ctica de la profesi n de auditoria, en particular a la auditoria de sistemas. Las caracter sticas que priman en el entorno de cualquier entidad moderna, que incorpore a su gesti n las tecnolog as de informaci n, sustentadas sobre una infraestructura tecnol gica con amplio grado de integraci n de redes, comunicaciones y sistemas de informaci n de punta, para maximizar a trav s de su soporte log stico el control interno, la contabilidad, y consecuentemente sus resultados, demanda transformaciones en la pr ctica de la disciplina orientada a ejercer un control superior mediante la auditoria y en especial en la auditoria interna.
6 Practicar auditorias en una organizaci n en la que el xito de su gesti n depende, como factor cr tico, de la eficiente administraci n de la informaci n y la tecnolog a de informaci n, en la que los sistemas de gesti n y contable han alcanzado un desarrollo tan notable, demanda la introducci n de una concepci n muy diferente a la que fuera para esta disciplina durante d cadas. Tal concepci n demanda, la participaci n inexcusable de la tecnolog a como herramienta, permiti ndole evolucionar al ritmo de las transformaciones incorporadas a la estructura del registro y del control interno y muy especialmente, para evaluar mediante auditorias a las tecnolog as de informaci n, los procedimientos de control espec ficos, dentro del mbito de su soporte tecnol gico, que a su vez, garantice una informaci n objetiva sobre el grado de cumplimiento de las pol ticas y normativas establecidas por la organizaci n para lograr sus objetivos.
7 La auditoria inform tica tiene como principal objetivo, evaluar el grado de efectividad de las tecnolog as de informaci n, dado que eval a en toda su dimensi n, en que medida se garantiza la informaci n a la organizaci n, su grado de eficacia, eficiencia, confiabilidad e integridad para la toma de decisiones, convirti ndola en el m todo m s eficaz para tales prop sitos. Su mbito de acci n se centra, en revisar y evaluar: los procesos de planificaci n; inversi n en tecnolog a; organizaci n; los controles generales y de aplicaci n en proyectos de automatizaci n de procesos cr ticos; el soporte de las aplicaciones; aprovechamiento de las tecnolog as; sus controles espec ficos, los riesgos inherentes a la tecnolog a, como la Seguridad de sus recursos, redes, aplicaciones, comunicaciones, instalaciones y otras.
8 4 La generalizada informatizaci n de los procesos y disciplinas que impactan directamente en la sociedad, en especial las relacionadas con la gesti n econ mica, que hace apenas una d cada se procesaban manualmente, as como los propios cambios que introduce su tratamiento informatizado, introducen transformaciones sustanciales sobre el concepto tradicional del control interno, la estructura del registro y consecuentemente la pr ctica de las auditorias. La auditoria interna, en su desempe o, tiene tambi n la responsabilidad de velar por el adecuado empleo y utilizaci n de los recursos inform ticos y por el cumplimiento de la misi n que a stos le ha asignado la organizaci n.
9 Tal conclusi n conduce, a la inexcusable necesidad de practicar auditorias inform ticas , a partir de un conjunto de t cnicas y procedimientos que eval en los controles internos intr nsecos y espec ficos de los sistemas de informaci n; en consecuencia, determina, que conceptualmente, no es dependiente ni evoluciona desde la auditoria convencional; sus puntos de partida son esencialmente diferentes ya que no analiza la correcci n o incorrecci n de cuentas contables, sino que constituye un instrumento de control superior para valorar la correcta administraci n de los recursos de tecnolog a de informaci n como: datos, aplicaciones, tecnolog a, instalaciones, y personal para valorar la efectividad de la informaci n que requiere la organizaci n.
10 Su concepci n se refiere a la integraci n de las t cnicas inform ticas y de auditoria para practicar un nuevo estilo de verificaci n, sobre un ambiente no convencional, con herramientas de punta y con procedimientos inexistentes y que puede definirse como: El conjunto de procedimientos y t cnicas que eval an, parcial o totalmente los controles internos de los sistemas de informaci n; la protecci n de sus activos y recursos; verifica si su explotaci n se desarrolla con eficiencia, de acuerdo con las pol ticas y normativas establecidas por cada entidad y valora si se alcanza el grado de organizaci n previsto para el marco donde participa y act a.
