• Author / Uploaded
• Johanna Polania Martinez

Citation preview

Fase 4 – Aporte Auditoria y alineación estratégica del gobierno del SGSI (Individual)

Johanna Polania Martínez

Universidad Nacional Abierta y a Distancia. Especialización en Seguridad Informática Sistema de Gestión de Seguridad Informática - SGSI Bogotá, Diciembre del 2019

INTRODUCCIÓN

La dificultad en el manejo de grandes volúmenes de información, la necesidad de disponer de información integra, oportuna, segura y confiable, dio origen a la revolución informática, la cual ha generado una creciente dependencia para las empresas y usuarios en general, que se benefician diariamente de ella con el registro y procesamiento de operaciones; por consiguiente surge la imperiosa necesidad de ejercer control en éste campo y es a través de la Auditoría de Sistemas la encargada de estudiar, analizar y asesorar todo lo atinente al control del área de sistemas y los recursos involucrados en su desarrollo.

Aporte – Aporte Auditoria y alineación estratégica del gobierno del SGSI

Actividades a desarrollar 1. Realizar un cuadro con la explicación de auditoria informática, su proceso y sus diferentes tipos, diferencias entre controles internos de los sistemas de información con la auditoría técnica de seguridad. EXPLICACIÓN AUDITORIA INFORMATICA Es la revisión y la evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo su utilización, eficiencia y seguridad de la organización que participan en el procesamiento de la información, a fin que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Se deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento especifico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. PROCESO: Consiste en recoger, agrupar y Planificación de la auditoria: Es necesario evaluar evidencias para determinar si un solicitar cierta documentación a la empresa sistema de información salvaguarda el activo con la finalidad de descubrir algunos aspectos empresarial, mantiene la integridad de los generales sobre él, como cuantos empleados datos ya que esta lleva a cabo eficazmente los tiene, que reglamentos internos maneja, fines de la organización, utiliza quienes son las máximas autoridades, etc. eficientemente los recursos, cumple con las Informar al órgano o ente auditado: La idea leyes y regulaciones establecidas. es que la compañía tenga la oportunidad de conocer el alcance y los objetivos de la auditoria para prepararse adecuadamente. Levantamiento de la auditoria: Se conoce como el trabajo de campo. Los métodos de levantamiento dependerán del tipo de auditoria. Analizar la información recolectada: Una vez se han obtenido las pruebas de campo, es hora de examinar si existen o no irregularidades. TIPOS: Existen diversos tipos de auditoria. Auditoria de seguridad interna: En este tipo de auditoria se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno. Auditoria de seguridad perimetral: En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores.

Test de Intrusión El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral. Análisis forense: El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem. Auditoria de páginas web: Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc. Auditoria de código de aplicaciones: Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado.

Los controles internos de los sistemas de información y la auditoría técnica de seguridad. Los controles aportan a la organización un control a cada una de las actividades que conllevan a cada uno de los objetivos en la que se encuentran identificados en la organización.

DIFERENCIAS CONTROLES INTERNOS DE SISTEMAS DE AUDITORÍA TÉCNICA DE SEGURIDAD INFORMACIÓN

Deben existir procedimientos escritos relacionados con la entrada de datos, con el fin de proporcionar al usuario instrucciones comprensivas que le señalen los pasos a seguir de una manera directa y concisa. Se debe realizar un análisis general de los reportes generados, con el objeto de determinar si existen algunos de ellos que puedan ser eliminados, reemplazados, reagrupados o simplificados, o si hay que

Detalle de todas las pruebas realizadas especificando su objetivo.

Detalle de todas las pruebas realizadas especificando su objetivo.

diseñar reportes adicionales debido a la dinámica permanente de los sistemas de información; así mismo, se debe controlar la distribución de los reportes para que se envíen únicamente al personal indicado y se debe realizar mediante oficio remisorio. Se debe controlar que las personas encargadas de efectuar el mantenimiento al software sean totalmente confiables; no obstante, se debe ejercer control sobre el acceso de ellos al sistema Como política general de la empresa, todo software adquirido debe tener contrato de mantenimiento que incluya actualización de versiones.

Recomendaciones que permitan solucionar de la forma más acertada los problemas de seguridad encontrados.

Clasificación de los problemas de seguridad según su nivel de peligro. Esto permitirá a la empresa poder elaborar un plan de actuación eficiente para resolver estos problemas de seguridad.

2. Diseño y estructura del informe ejecutivo y técnico que son utilizadas para las auditorias de seguridad informática. Informe ejecutivo

Informe técnico

CONCLUSIONES El diseño de un plan Estratégico para la Gestión de Seguridad de la Información basado en un modelo de mejoras prácticas y lineamientos de seguridad, como es la Norma internacional ISO/IEC 27001:2013 y la ISO/IEC 27002:2013, y el alineamiento del plan estratégico corporativo con los objetivos estratégicos de seguridad de la información, es un herramienta de gran ayuda que permite identificar los diferentes proyectos de seguridad de la información que debe adelantar la Compañía de manera organizar para cumplir con el objetivo de seguridad de la información que es salvaguardar la información de la compañía garantizando la confidencialidad, integridad de disponibilidad de la información, todo lo anterior, se cumple si se logra establecer un modelo de seguridad de la información, para lograr forjar en el tiempo un adecuado y sostenible Sistema de Gestión de Seguridad de la Información, nuestro objetivo es viable y conforme a los planteado en el desarrollo de este trabajo.

BIBLIOGRAFIA https://www.gerencie.com/auditoria-de-sistemas-de-informacion.html http://bdigital.unal.edu.co/57921/1/comosedebencontrolarlossistemas.pdf http://www.anh.gov.co/la-anh/Control-yRendicion/Informes%20de%20Auditora/Informe%20ejecutivo%20de%20auditor%C3%ADa%20PBC%20%20(abr il).pdf https://facexp.ujaen.es/sites/centro_facexp/files/uploads/calidad/3_Acta_Comision_SIGC_Quimica_27_02_20 13_Anexo%20I.pdf