lunes, 28 de marzo de 2011

Auditoria Informática


Una auditoria informática consiste en recoger, clasificar y evaluar evidencias para determinar si un sistema esta en la capacidad de guardar los activos de la compañía de manera segura (mantener la integridad de los datos, utilización eficiente de los recursos y cumplimiento de las regulaciones establecidas).
La auditoria responde a la pregunta ¿qué información es crítica para el cumplimiento de su misión y objetivos? Esto se logra  identificando necesidades, duplicidades, costos, valor y barreras, que obstaculizan flujos de información eficientes.


Los objetivos de la auditoría Informatica son:
  • El control de la función informática
  • El análisis de la eficiencia de los sistemas Informáticos
  • La verificación del cumplimiento de la Normativa en este ámbito
  • La revisión de la eficaz gestión de los recursos informáticos.

Las pruebas que se realizan por parte del auditor son de dos tipos:
  • Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
  • Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

lunes, 21 de marzo de 2011

ISO / IEC 31010

ISO / IEC 31010 fue publicada en el año 2009, esta norma trata de las técnicas de evaluación de riesgos ampliando lo que se había publicado en la norma ISO 31000 siendo esta la familia de normas relativas a las Gestión de riesgos.

La norma ISO 31000 incluye:
  • ISO 31000: Principios y directrices para la implantación.
  • ISO/IEC 31010: Gestión de riesgos –Técnicas y evaluación de riesgos.
  • ISO/IEC 73: Gestión de riesgos – Vocabulario.
Esta semana vamos a hablar de ISO/IEC 31010, esta norma en general habla sobre la evaluación de riesgos y tiene como finalidad que las organizaciones comprendan los riesgos que podrían afectar el logro de los objetivos y la adecuación y eficacia de los controles ya existentes, proporcionando una base para el tratamiento de los riesgos y saber seleccionar las mejores decisiones a través de las buenas prácticas que ofrece.
Esta norma contiene las respuestas a las siguientes preguntas:
  • ¿Qué puede suceder y por qué?
  • ¿Cuáles son las consecuencias?
  • ¿Cuál es la probabilidad de que ocurran en el futuro?
  • ¿Hay factores que mitigan las consecuencias del riesgo o que reducen la probabilidad del riesgo?
La evaluación de riesgos no es una actividad independiente y debería integrarse en los otros componentes en el proceso de gestión de riesgos, afirma la ISO, esta norma puede ayudar en la organización en los siguientes enfoques:
  • Conceptos de evaluación de riesgos.
  • Proceso de evaluación de riesgos.
  • Selección de las técnicas de evaluación de riesgos .
Esta norma no se ocupa específicamente de la seguridad, es un estándar de gestión de riesgos genéricos y cualquier referencia a la seguridad es de carácter informativo.

lunes, 14 de marzo de 2011

ISO/IEC 27001

Esta semana hablaremos de la ISO/IEC 27001 ya que al momento de certificar un SGSI (Sistemas de Gestión de la Seguridad de la Información) una entidad externa audita y acredita el sistema después de determinar la conformidad con la ISO/IEC 27001, si su grado de implantación es real y eficaz la organización es certificada, por ello es importante que sepamos de que se trata esta norma.

La serie 27000 dentro de los estándares ISO/IEC, tiene asignada la seguridad de la información, contiene todas las normas relacionadas con seguridad informática, sus sistemas de gestión de mediciones y certificaciones entre otras, dentro de ella encontramos la ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) aprobado en octubre de 2005 tiene su origen en la BS7799-2:2002 y es el estándar aceptado mundialmente para la definición y gestión de seguridad informática.

La ISO/IEC 27001 contiene la especificación de los requisitos necesarios que se deben establecer para implantar, mantener y mejorar el sistema de gestión de la seguridad de la información, apoyándose en el ciclo de Deming PDCA (Plan, Do, Check, Act).

PLAN: En esta etapa se establece el ISMS que son los requerimientos, políticas, objetivos, procesos y procedimientos.
DO: En esta etapa se realiza el proceso de implantación y puesta en operación del ISMS.
CHECK: En esta etapa se tratan los procesos y procedimientos previamente establecidos informando a quien corresponda sobre su funcionamiento.
ACT: En esta etapa se hace referencia a los temas de mantenimiento y mejora del ISMS.

La duración de la implantación de la ISO/IEC 27001 es de 6 y 12 meses dependiendo de la madurez en la que se encuentre la seguridad de la información en la organización y el ámbito de la organización que va a estar sometido al SGSI elegido. Para el proceso de implantación siempre es recomendable la asesoría de un consultor externo a la organización.

martes, 8 de marzo de 2011

Riesgos de Integridad


Entre los riesgos que se ve expuesta una organización, están los que amenazan la integridad los riesgos asociados con la autorización. Este tipo de riesgos están presentes en muchos momento en las aplicaciones, principalmente en los siguientes componentes:

v     Interface del usuario: los riesgos en este componente se relacionan con la autorización para ejecutar funciones en la organización. Otros riesgos en esta área se relacionan a controles que aseguren la validez y completitud de la información introducida dentro de un sistema.
v     Procesamiento: los riesgos en este componente se relacionan con el balance de los controles detectivos y preventivos que son responsables del asegurarse que el procesamiento de información se ha completado satisfactoriamente. Otros riesgos presentes en este componente son los que tienen que ver con la exactitud de los informes generados y que abarcan temas importantes sobre la situación de la organización.
v     Procesamiento de errores: se asegura que los errores es decir,  las excepciones que se presenten en el sistema sean capturadas, corregidos y reprocesados correctamente.
v     Información: estos riesgos están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos.
v     Interface: estos riesgos se relacionan con los controles de seguridad que permiten que la información sea procesada y transferida a otras aplicaciones de manera optima.
v     Administración de cambios: estos riesgo se relacionan con la falta de compromiso y la inducción a los usuarios para que conozcan los cambios y su manera de implementarlos.