Agenda Importancia de Controlar los Sistemas de Información Amenazas a los Sistemas de Información Entorno de Control de los Sistemas Información Auditoria de Sistemas Aseguramiento de la Calidad de Software
Importancia de Controlar los S.I. Dado el alto grado de penetración de la informática en la vida cotidiana doméstica y organizacional, cualquier tipo de fallo en los sistemas de información pueden producir catástrofes importantes. A los efectos de minimizar el impacto de las amenazas, las empresas necesitan implementar un sistema de control del sistema de información. Conceptos importantes: Amenazas ? Riesgo latente, acción que genera temor. Controles ? Intervenciones realizadas con el objeto de prevenir cualquier posible desvío respecto a lo que se pretendía. Seguridad ? Políticas, procedimientos y medidas técnicas que se aplican para evitar cualquier tipo de fallo, robo, alteración a los S.I.
Amenazas a los Sistemas de Información (Gp:) Problemas de Telecomunicaciones (Gp:) Alto Intercambio de información que aumenta los canales de acceso a los datos desde diferentes fuentes. Fallos en establecer y/ó mantener una comunicación. Cortes de comunicación inesperado. Falta de señal en redes inalámbricas. (Gp:) Descripción de las mismas (Gp:) Amenaza (Gp:) Acceso no autorizado a una red de computadoras. Este acceso puede o no contar con robo ú alteración al sistema y/ó sus datos. _Cuando una persona realiza la intrusión: Se las llama genéricamente “Hackers”. Sin embargo, existe una denominación específica de acuerdo al tipo de vandalismo informático, a saber: ? Cracker ? Phreaker ? Hacker ? Pirata informático ? Carding ? Trashing _Cuando se trata de una intrusión mediante un programa, esto se conoce como “Virus”. Existen varios tiposde virus: ? Virus mutantes o polimórficos ? Virus de Booteo ? Virus de macros ? Virus de archivo ? Caballo de Troya ? Gusanos o Worms. ? Virus de sobreescritura ? Virus residentes ? Etc. (Gp:) Intrusión
Amenazas a los Sistemas de Información (Cont) (Gp:) Robo (Gp:) Puede ser de información, datos y/ó de equipos o soportes físicos (Gp:) Descripción de las mismas (Gp:) Amenaza (Gp:) Rotura de equipos Catástrofes del entorno Virus (Gp:) Fallos de Hardware (Gp:) Fallos de Software (Gp:) Errores en la codificación del Software (Bugs) Errores producidos en el ingreso de los datos. Virus Errores producidos por el volumen (ya sea de usuarios concurrentes, de procesos activos, etc) Los errores llevan a una mala calidad de la información y pueden impactar negativamente en la toma de decisiones. (Gp:) Catástrofes (Gp:) Incendios Fallos en el suministro eléctrico Inundaciones Sismos
Amenazas a los Sistemas de Información (Cont.) Origen de las amenazas: Factores técnicos Factores de organización Factores del entorno. Combinados con malas decisiones gerenciales o la falta de decisión. Virus informático: software que puede Destruir datos Perturbar el normal funcionamiento del procesador Vulnerar la privacidad y confidencialidad de la información Bloquear y/o congestionar el tráfico en las redes e Internet Etc.
Entorno de Control de los Sistemas Información La implementación de controles minimiza los riesgos a los que están expuestos los S.I. Los controles son una combinación de medidas manuales y automatizadas que cuidan de la seguridad de los activos, la exactitud y fiabilidad de los registros contables y el cumplimiento operativo de las normas gerenciales. Tipos de controles: Controles Generales ? Controles amplios que monitorean el funcionamiento eficaz de los procedimientos programados en todas las Areas de aplicación. Controles de Aplicación ? Controles específicos y exclusivos de cada una de las aplicaciones computarizadas.
Entorno de Control de los Sistemas Información (Cont) (Gp:) Control de Implementación (Gp:) Audita el proceso de desarrollo de sistemas para asegurar que siga las pautas de calidad para el desarrollo, conversiones y pruebas. (Gp:) Descripción de los mismos (Gp:) Controles Generales (Gp:) Control de Software (Gp:) Control de Hardware (Gp:) Control de Operaciones de Computación (Gp:) Monitorea el uso del software de sistemas y evita el acceso no autorizado a los programas de aplicación y al software de sistemas. (Gp:) Cuida que el equipo esté protegido físicamente contra incendios y extremos de temperatura y humedad. Debe garantizar la continuidad operativa ante desastres, implementando respaldos tanto de hardware como de datos. (Gp:) Ejercido sobre la labor del centro de cómputos. Garantiza que los procedimientos programados se apliquen de forma congruente y correcta al almacenamiento y procesamiento de datos. (Gp:) Normas, reglas, procedimientos y disciplinas de control formalizados. Asegura que los controles generales y de aplicación de la organización se apliquen y cumplan debidamente. (Gp:) Control de Seguridad de los datos (Gp:) Control Administrativo (Gp:) Garantiza que los archivos de datos de negocios no sufran accesos no autorizados, alteraciones o destrucción.
Entorno de Control de los Sistemas Información (Cont) (Gp:) Control de Entrada (Gp:) Verifica la exactitud e integridad de los datos cuando entran en el sistema. Son controles para evitar errores en las entradas, conversiones y/ó ediciones de datos. Es posible establecer totales de control. (Gp:) Descripción de los mismos (Gp:) Controles de Aplicación (Gp:) Control de Procesamiento (Gp:) Control de Salida (Gp:) Monitorea que los resultados del procesamiento sean correctos, estén completos y se distribuyan debidamente (Gp:) Determina si los datos están completos y son exactos durante la actualización. Se pueden establecer totales de control de serie, el cotejo por computadora y verificaciones de edición.
¿Qué medidas se pueden implementar para las amenazas existentes? (Algunos ejemplos) Virus ? Antivirus, no permitir el uso de disquettes para el traslado de información. Personas intrusas ? Firewalls, Sistemas de detección de intrusiones. Desastres ? Resguardos completos y/ó incrementales, Espejado de discos, Planes de Recuperación en caso de desastres. Fallos de Software ? Controles de entrada, Implementar metodología estandarizada para el desarrollo/mantenimiento de sistemas y efectuar auditorías sobre el uso de la misma, Controles de salida. Problemas de telecomunicación ? Cifrado, Firma Digital, Certificado Digital, Integridad del mensaje. Seguridad en Transacc. Electrónicas ? Transmisión Electrónica Inviolable (SET- Tarj. Crédito), E- cash Entorno de Control de los Sistemas Información (Cont)
Auditoria de Sistemas La Auditoria de Sistemas se ejerce sobre los procesos de control implementados. Las tareas de la Auditoria son: Analizar exhaustivamente el cumplimiento de todos los controles que rigen sobre los sistemas de información Enumerar las deficiencias de control detectadas. Estimar la probabilidad de ocurrencia de las deficiencias mencionadas Evaluar el impacto en las finanzas y en la organización de dichas deficiencias Proponer posibles mejoras en los controles que se efectúan. Las técnicas posibles de utilizar en la auditoria son: Entrevistas y revisión de documentación. Control del flujo completo de transacciones. Utilización de herramientas de auditoria automatizadas.
Aseguramiento de la Calidad del Software Definiciones Importantes: Calidad, Calidad del Software Aseguramiento de la Calidad Soluciones a los principales problemas de calidad del Software: Uso de metodologías apropiadas Asignación de los recursos necesarios durante el desarrollo Implementación de métricas de software Desarrollo de pruebas exhaustivas Utilización de herramientas de calidad. Actualmente existen estándares internacionales que detallan los elementos necesarios y los pasos a seguir para asegurar la calidad del proceso de desarrollo/implementación de Sistemas. ISO 9000-3 CMM