AUDITORIA
Enviado por alejandragurrola • 2 de Octubre de 2013 • 1.126 Palabras (5 Páginas) • 188 Visitas
2.2 EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO
Son aquellos objetos, dispositivos, medidas, etc. que contribuyen a hacer más seguro el funcionamiento o el uso.
Consideraciones Inmediatas Para La Auditoría De La Seguridad
Uso de la Computadora: uso adecuado de la computadora y su software que puede ser susceptible a:
1. copia de programas de la organización para fines de comercialización (copia pirata).
2. acceso directo o telefónico a bases de datos con fines fraudulentos
Sistema de Acceso: Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a:
1. nivel de seguridad de acceso
2. empleo de las claves de acceso
3. evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo.
Cantidad y tipo de información: que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir.
1. la información este en manos de algunas personas
2. la alta dependencia en caso de pérdida de datos
Personal: hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente:
1. contemplar la cantidad de personas con acceso operativo y administrativo
2. conocer la capacitación del personal en situaciones de emergencia
Medios De Control
Contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema al igual que se debe observar con detalle el sistema ya que podría generar indicadores que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema.
Rasgos Del Personal
Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya que pueden surgir:
malos manejos de administración
malos manejos por negligencia
malos manejos por ataques deliberados
INSTALACIONES
Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar:
la continuidad del flujo eléctrico
efectos del flujo eléctrico sobre el software y hardware
evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
verificar si existen un diseño, especificación técnica, manual o algún tipo de documentación sobre las instalaciones
ESTABLECER LAS ÁREAS Y GRADOS DE RIESGO
Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que corre la información y hacerles comprender que la seguridad es parte de su trabajo.
SISTEMA INTEGRAL DE SEGURIDAD
Un sistema integral debe contemplar:
Definir elementos administrativos
Definir políticas de seguridad
A nivel departamental
A nivel institucional
Organizar y dividir las responsabilidades
Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.)
Definir prácticas de seguridad para el personal:
Plan de emergencia (plan de evacuación, uso de recursos de emergencia como extinguidores.
Números telefónicos de emergencia
Definir el tipo de pólizas de seguros
Definir elementos técnicos de procedimientos
Definir las necesidades de sistemas de seguridad para:
Hardware y software
Flujo de energía
Cableados locales y externos
Aplicación de los sistemas de seguridad incluyendo datos y archivos
Planificación de los papeles de los auditores internos y externos
Planificación de programas de desastre y sus pruebas (simulación)
Planificación de equipos de contingencia con carácter periódico
Control de desechos de los nodos importantes del sistema:
Política de destrucción de basura copias, fotocopias, etc.
Consideración de las normas ISO 14000
Etapas para Implementar un Sistema de Seguridad
PLAN DE SEGURIDAD IDEAL (O NORMATIVO)
Un plan de seguridad para un sistema de seguridad integral debe contemplar:
El plan de seguridad debe asegurar la integridad y exactitud de los datos
Debe permitir identificar la información que es confidencial
Debe contemplar áreas de uso exclusivo
Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles
Debe asegurar la capacidad de la organización para sobrevivir accidentes
Debe proteger a los empleados contra
...