Upload
waltermancheno66
View
94
Download
6
Embed Size (px)
Citation preview
UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVASESCUELA DE CONTABILIDAD Y AUDITORÍA
TRABAJO DE AUDITORÍA DE SISTEMAS INFORMÁTICOS
AI DOMINIO-ADQUISICIÓN E IMPLEMENTACION
WALTER MANCHENO
CA9-4
ADQUISICIÓN E IMPLEMENTACIÓN DOMINIO
Identificación de soluciones
Automatizadas
Adquisición y Mantenimiento del Software
Aplicado
Adquisición y Mantenimiento
de la infraestructura
tecnológica
Desarrollo y Mantenimiento de procesos
Instalación y aceptación de los
sistemas
Administración de los cambios
• Areas Usuarias
• Sistema Gerencial
• Areas Usuarias
• Areas Usuarias
Requerimientos Aplicaciones Software
Organización-Visión-Misión
-Planes, Proyectos-Políticas
-Prioridades
Requerimientos / objetivos estratégicos
DIRECCIÓN DE
SISTEMAS
Iden
tifica
ción
de S
oluc
ione
s Aut
omat
izada
s
OBJETIVOAsegurar el mejor
enfoque para cumplir con los requerimientos
del usuario
Definición de Requerimientos de información
Estudio de Factibilidad
Estudio de Factibilidad
Arquitectura de información
Seguridad con relación costo
beneficio
Contratación de terceros
Aceptación de Instalaciones y
Tecnología
PISTAS DE AUDITORÍA
Detección de Instrucciones
Reconstrucción de Eventos
Responsabilidad Individual
Identificación de Problemas
Son una serie de registros sobre las
actividades del sistema operativo, de procesos o
aplicaciones y / o usuarios del sistema
Prevención• Riesgo
Detección• Incidente Error
Represión• Daños
Corrección• Recuperación
Evaluación
Problemas de
transcripcion
Datos Ilegibles
Datos en blanco
Errores Potenciales
Registro de Valores imposible
Falta de aleatoriedd
Errores Potenciales en Tecnologías Informáticas
Corrección
Diagnóstico
Prevención
Evaluación
EVOLUCIÓN Y ADMINISTRACIÓN DEL RIESGO
POLÍTICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS
• LAN• (LOCAL AREA
NETWORK)
Si se conectan todos los computadores dentro de un mismo edificio
• WAN• (WIDE ARE
NETWORK
Si están instalados en edificios diferentes estableciendo l comunicación en un esquema cliente - servidor
• PLATAFORMA DE INTERNET EN LAS ACTIVIDADES EMPRESARIALES
Administración y Control de Accesos
CriptográficaIntegridad y
Confidencialidad de Datos
Disponibilidad No discrecional Dependientes y por defecto
TÉCNICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS
TECN
IC D
E CI
FRAD
O
Para garantizar la confidencialidad de la información en los sistemas distribuidos, permite que aunque los datos sufran un
ataque, estos no puedan ser conocidos por el atacante.
Técn
icas
de In
tegr
idad
y
conf
iden
cialid
ad
Autenticación- Identificar a los usuarios que inicien sesiones en
sistema o la aplicación
Autorización- Una vez autenticado el usuario hay que comprobar si tiene los privilegios necesarios para realizar la
acción que ha solicitado
Integridad- Garantizar que los mensajes sean auténticos y no se
alteren
Confidencialidad- Ocultar los datos frente a accesos no autorizados y
asegurar que la información transmitida no ha sido interceptada.
Auditoría- Seguimiento de entidades que han accedido al sistema
identificando el medio.
TÉCNICAS DE AUTENTICACIÓN
Son habituales los sistemas de
identificación mediante tarjetas, los cajeros automáticos de los
bancos. El usuario debe insertar primero la tarjeta donde está codificada la
información de su cuenta, y luego introducir una palabra clave o un
número de identificación personal que sirve de
comprobación adicional.
OBJETIVOS DE CONTROL
DOCUMENTACIÓN MATERIALES DE CONSULTA Y
SOPORTE PARA USUARIO
REQUERIMIENTO DE ARCHIVO
CONTROL DE APLICACIÓN Y REQUERIMIENTOS
FUNCIONALES
INTERFACE USUARIO MAQUINA
PRUEBAS FUNCIONALES
ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTURA TECNOLÓGICA -PROCESO
• EVALUACIÓN DE LA TECNOLOGÍA
.• MANTENIMIENTO
PREVENTIVO
. • SEGURIDAD DEL SOFTWARE DE SISTEMA
.
DESARROLLO Y MANTENIMIENTO DE PROCESOS-PROCESO
• Manuales de procedimientos de usuarios y controles
• Levantamiento de procesos
• Manuales de operaciones y controles
• Materiales de entrenamiento
INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS -PROCESO
CAPACITACIÓN DEL PERSONAL
REVISIONES POST IMPLEMENTACIÑO
N
VALIDACIÓN Y ACREDITACIÓN
PRUEBAS ESPECÍFICAS
CONVERSIÓN CARGA DE DATOS
ADMINISTRACIÒN DE CAMBIOS –PROCESO
AUTORIZACIÓN DE CAMBIOS
EVALUACIÓN DEL IMPACTO
QUE PROVACARÀ
LOS CAMBIOS
IDENTIFICACIÓN DE CAMBIO
DISTRIBUCIÓN DE SOFTWARE
MANEJO DE LIBERACIÒN