AuditoriaSistemas.com
Español Català
contacto

Augmentem la seva seguretat

Ronda General Mitre 154 1. 1. - 08006 Barcelona - Tel. 93.532.20.20 - - Formulari de Contacte
AtrásaAdelanteaCerraraImprimir
Auditoria Informàtica
 » Control Intern
 » Seguretat Informàtica
 » Polítiques de Seguretat
Auditoria de Sistemes
 » Facturació Electrònica
 » Legislació a Internet
 » Seguretat en les Xarxes
Casos Reals
Clients representatius
Contacta amb nosaltres



Auditoria de Sistemes  
 

L'objectiu de l'Auditoria de sistemes informàtics el d'avaluar l'eficiència i eficàcia amb que s'està operant perquè es prenguin decisions que permetin corregir els errors, en cas que existeixin, o bé millorar la forma d'actuació.

Objectius generals de l'Auditoria de sistemes informàtics:

  • Assegurar una major integritat, confidencialitat i confiabilitat de la informació.
  • Seguretat del personal, les dades, el maquinari, el programari i les instal·lacions.
  • Minimitzar existències de riscos en l'ús de Tecnologia d'informació.
  • Conèixer la situació actual de l'àrea informàtica per a assolir els objectius.
  • Suport de funció informàtica a les metes i objectius de l'organització.
  • Seguretat, utilitat, confiança, privadesa i disponibilitat en l'ambient informàtic.
  • Incrementar la satisfacció dels usuaris dels sistemes informàtics.
  • Capacitació i educació sobre controls en els Sistemes d'Informació.
  • Buscar una millor relació cost-benefici dels sistemes automàtics.
  • Decisions d'inversió i despeses innecessàries.
Hem seleccionat els següents articles per a vostè:

Conceptes d'Auditoria de Sistemes
Font: monografias.com

L'enemic a casa: infraccions informàtiques dels treballadors.
Font: .e-directivos.com

 Característiques de la auditoria tecnològica
Símptomes de necessitat d'una auditoria informàtica
Font: monografias.com

Conceptes d'Auditoria de Sistemes

La paraula auditoria ve del llatí auditorius i d'aquesta prové auditor, que té la virtut de oir i revisar comptes, però deu estar encaminat a un objectiu específic que és el d'avaluar l'eficiència i eficàcia amb que s'està operant perquè, per mitjà de l'assenyalament de cursos alternatius d'acció, es prenguin decisions que permetin corregir els errors, en cas que existeixin, o bé millorar la forma d'actuació.Alguns autors proporcionen altres conceptes però tots coincideixen a fer èmfasis en la revisió, avaluació i elaboració d'un informe per a l'executiu encaminat a un objectiu específic en l'ambient computacional i els sistemes.A continuació es detallen alguns conceptes recollits d'alguns experts en la matèria:Auditoria de Sistemes és:

  • La verificació de controls en el processament de la informació, desenvolupament de sistemes i instal·lació amb l'objectiu d'avaluar la seva efectivitat i presentar recomanacions a la Gerència.

    L'activitat dirigida a verificar i jutjar informació.

    L'examen i avaluació dels processos del Area de Processament automàtic de Dades (PAD) i de la utilització dels recursos que en ells intervenen, per a arribar a establir el grau d'eficiència, efectivitat i economia dels sistemes computarizados en una empresa i presentar conclusions i recomanacions encaminades a corregir les deficiències existents i millorar-les.

  • El procés de recol·lecció i avaluació d'evidència per a determinar si un sistema automatitzat: Mante l'Integritat de la Informació
  • És l'examen o revisió de caràcter objectiu (independent), crític(evidència), sistemàtic (normes), selectiu (mostres) de les polítiques, normes, pràctiques, funcions, processos, procediments i informes relacionats amb els sistemes d'informació *computarizados, amb la finalitat d'emetre una opinió professional (imparcial) pel que fa a:

  • Eficiència en l'ús dels recursos informàtics
  • Validesa de la informació
  • Efectivitat dels controls establerts

L'enemic a casa: infraccions informàtiques dels treballadors.

La proliferació de les noves tecnologies en l'empresa comporta també la proliferació de nous perills. Ja no són només els atacs i sabotatges informàtics des de l'exterior, sinó les infraccions des de dintre, les produïdes pels propis empleats, i contra les quals les organitzacions són, pel que sembla, més vulnerables. Fa poc més d'un mes, la signatura Landwell d'Advocats i Assessors Fiscals, pertanyent a PricewaterhouseCoopers, presentava un excel·lent estudi titulat Actes deslleials de treballadors usant sistemes informàtics, el qual mereix la pena conèixer amb una mica de detall en aquestes pàgines. L'estudi s'ha elaborat a partir de l'anàlisi d'informes, sentències, actuacions i procediments judicials de 393 casos reals soferts per empreses espanyoles i protagonitzats per treballadors en plantilla, durant el trienni 2001-2003; i s'ha completat amb entrevistes personals amb els responsables de les companyies afectades. Per a començar, l'informe reconeix que es desconeix el nivell d'incidència en el conjunt total de les empreses espanyoles, ja que una gran part de les empreses afectades per aquest tipus d'accions prefereixen arribar a un acord amistós i no divulgar els fets. Les infraccions més habituals que han estat detectades són així sistematizadas en l'estudi: Creació d'empresa paral·lela, utilitzant actius immaterials de l'empresa. Consisteix en l'explotació en una empresa de nova creació, de la propietat intel·lectual, la propietat industrial o el know uports informàtics o a través d'Internet. És possible que el treballador actuï aliat amb altres companys de l'empresa. Danys informàtics i ús abusiu de recursos informàtics. Els danys informàtics es produeixen generalment com resposta a un conflicte laboral o a un acomiadament que el treballador considera injust. Consisteixen en la destrucció, alteració o inutilització de les dades, programes o qualsevol altre actiu immaterial albergat en xarxes, suports o sistemes informàtics de l'empresa. Els casos més habituals són els virus informàtics, el sabotatge i les bombes lògiques, programades perquè tinguin efecte uns mesos després de la baixa del treballador. També és habitual l'ús abusiu de recursos informàtics, especialment l'accés a Internet. Informació confidencial i dades personals. Consisteix en l'accés no autoritzat i en la posterior revelació a tercers, generalment competidors o clients, d'informació confidencial de l'empresa. En algunes ocasions, la revelació la realitzen treballadors que tenen un accés legítim, però amb obligació de reserva, a la informació posteriorment divulgada. En aquest capítol també es contempla la cessió no autoritzada a tercers de dades personals de treballadors i clients. Amenaces, injúries i calúmnies. El mitjà utilitzat habitualment és el correu electrònic corporatiu, encara que també s'han utilitzat comptes anònims, i fins i tot s'ha suplantat la identitat d'altre treballador de la mateixa empresa. En el cas de les amenaces, es busca un benefici material o immaterial per al treballador. Si el benefici no es produeix, el treballador portarà a terme la conducta anunciada en el missatge amenaçador. En el cas de les injúries i les calúmnies, es busca desacreditar a l'empresa, o a algun dels seus directius. També s'han produït insults a clients habituals o a clients potencials de l'empresa amb el qual el treballador tenia algun conflicte. Infracció propietat intel·lectual i introducció d'obres de l'empresa en xarxes P2P. Consisteix en la còpia d'actius immaterials de l'empresa, especialment obres protegides per la propietat intel·lectual, amb la finalitat de cedir-les posteriorment a tercers. En els últims dos anys s'han donat casos de difusió a través d'Internet, mitjançant l'ús de xarxes d'intercanvi de fitxers (peer to peer). D'aquesta manera, una multitud d'usuaris accedeixen de forma gratuïta a programes d'ordinador desprotegits, informació o continguts multimèdia. Intercanvi d'obres de tercers a través de xarxes P2P. Aquest és el cas més habitual i es detecta generalment en el curs d'una auditoria de seguretat informàtica, mitjançant l'anàlisi del cabal de dades transferit pels treballadors a través de la xarxa corporativa. En algunes ocasions, s'ha detectat directament la instal·lació del programa P2P o l'ús de ports típics per a l'accés a xarxes P2P. Aquest cas és especialment greu, ja que l'empresa es converteix en proveïdora directa de còpies no autoritzades de música, pel·lícules i programes d'ordinador. Infracció de drets de propietat industrial. El cas més habitual ha estat la infracció de marques de l'empresa mitjançant el registre del nom de domini per part del treballador. En alguns casos, s'ha creat una pàgina web amb continguts ofensius per a aconseguir un major efecte nociu per a l'empresa o per a obtenir una suma de diners per la transferència. Davant l'aparició d'aquesta classe de situacions, quin ha estat l'estratègia de resposta de les empreses? L'informe de *Landwell ens diu que la majoria de les empreses prefereixen encomanar la investigació dels possibles actes deslleials d'un treballador a un equip intern, generalment format per membres del departament de *RRHH i del departament de sistemes. Només un 22 per cent de les empreses que sospiten d'un empleat decideixen externalitzar la investigació. El tipus d'investigació depèn de la intenció de l'empresa d'arribar a un acord o plantejar una reclamació judicial. Quan es pren la decisió de dur la infracció als tribunals, l'obtenció de les evidències electròniques s'encarrega a un tercer, amb la finalitat d'aconseguir major objectivitat i valor probatori. El procediment de recopilació de les evidències deu respectar els drets del treballador perquè sigui vàlid judicialment. Una investigació s'inicia a partir de les sospites i indicis generats per la pròpia conducta del treballador, per un consum de recursos poc usual o pel descobriment dels efectes de la infracció. No obstant, Només el 26 per cent de les infraccions detectades acaben en els tribunals. La resta de les infraccions són objecte d'un acord privat o d'una sessió finalitzada amb aveniencia en un organisme de mediació i conciliació laboral. En general, les empreses prefereixen solucionar els seus conflictes de forma privada i això incideix en la forma d'investigar i tractar les possibles infraccions dels seus treballadors. Ara bé, si els danys produïts estan prevists en la cobertura d'un segur, és molt probable que l'empresa degui plantejar una reclamació judicial per a poder sol·licitar la corresponent compensació econòmica.

Característiques de la auditoria tecnològica

La informació de l'empresa i per a l'empresa, sempre important, s'ha convertit en un Actiu Real de la mateixa, amb els seus Estocs o matèries primeres si les hi ha. Per tant, han de realitzar-se inversions informàtiques, matèria de la qual s'ocupa la Auditoria d'Inversió Informàtica.

De la mateixa manera, els Sistemes Informàtics o tecnològics han de protegir-se de manera global i particular: a això es deu l'existència de la Auditoria de Seguretat Informàtica en general, o a la auditoria de Seguretat d'alguna de les seves àrees, com poguessin ser Desenvolupament o Tècnica de Sistemes.

Quan es produeixen canvis estructurals en la Informàtica, es reorganitza d'alguna forma la seva funció: s'està en el camp de la Auditoria d'Organització Informàtica o tecnològica

Aquests tres tipus de auditorias engloben a les activitats auditores que es realitzen en una auditoria parcial. D'altra manera: quan es realitza una auditoria de l'àrea de Desenvolupament de Projectes de la Informàtica d'una empresa, és perquè en aquest Desenvolupament existeixen, a més d'ineficiències, debilitats d'organització, o d'inversions, o de seguretat, o alguna barreja d'elles.

Símptomes de necessitat d'una auditoria informàtica


Les empreses acudeixen a les auditorias externes quan existeixen símptomes ben perceptibles de debilitat. Aquests símptomes poden agrupar-se en classes:
  • Símptomes de*descoordinació i desorganització:

No coincideixen els objectius de la Informàtica de la Companyia i de la pròpia Companyia.
Els estàndards de productivitat es desvien sensiblement dels termes mitjans aconseguits habitualment.

  • Símptomes de dolenta imatge i insatisfacció dels usuaris:

- No s'atenen les peticions de canvis dels usuaris. Exemples: canvis de Programari en els terminals d'usuari, refrescamiento de panells, variació dels fitxers que deuen posar-se diàriament a la seva disposició, etc.
- No es reparen les avaries de Maquinari ni es resolen incidències en terminis raonables. L'usuari percep que està abandonat i desatès permanentment.
- No es compleixen en tots els casos els terminis de lliurament de resultats periòdics. Petites desviacions poden causar importants desajustaments en l'activitat de l'usuari, especialment en els resultats d'Aplicacions crítiques i sensibles.

  • Símptomes de debilitats econòmic-financer:

- Increment desmesurat de costos.
- Necessitat de justificació d'Inversions Informàtiques (l'empresa no està absolutament convençuda de tal necessitat i decideix contrastar opinions).
- Desviacions Pressupostàries significatives.
- Costos i terminis de nous projectes (deuen auditar-se simultàniament a Desenvolupament de Projectes i a l'òrgan que va realitzar la petició).

  • Símptomes d'Inseguretat:

- Seguretat Lògica
- Seguretat Física
- Confidencialitat
[Les dades són propietat inicialment de l'organització que els genera. Les dades de personal són especialment confidencials]

  • Centre de Procés de Dades fora de control. Si tal situació arribés a percebre's, seria pràcticament inútil la auditoria. Aquesta és la raó per la qual, en aquest cas, el símptoma deu ser substituït pel mínim indici.

© 2004 Auditoría Sistemas
Creació i disseny de la pàgina web Einnova.com