Conceptos Clave de Auditoría Informática y Seguridad de la Información

Auditoría Informática: Conceptos Fundamentales

La auditoría es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de funciones, actividades, tareas y procedimientos de una organización, así como dictaminar sobre el resultado de dicha evaluación.

Justificación de la Auditoría Informática

  • Aumento de la vulnerabilidad en los sistemas.
  • Beneficios para alcanzar objetivos organizacionales.
  • La información como recurso estratégico.
  • Magnitud de los costos e inversiones en Tecnologías de la Información y Comunicación (TIC).
  • Aumento de la productividad.
  • Automatización de los procesos y prestación de servicios.

Objetivos de la Auditoría Informática

  • Incrementar la satisfacción de los usuarios.
  • Capacitación y educación sobre controles en los sistemas de información.
  • Buscar una mejor relación costo-beneficio en las inversiones de TI.

Gestión de Riesgos Informáticos

Riesgo Informático

Es la probabilidad de que una amenaza se materialice, generando pérdidas y daños.

Amenaza

Son acciones que pueden ocasionar consecuencias negativas, tales como:

  • Fallas en el sistema.
  • Ingreso no autorizado.
  • Virus.

Pueden ser de tipo física o lógica.

Vulnerabilidad

Es una condición que facilita que una amenaza se materialice. Ejemplos incluyen:

  • Falta de conocimiento.
  • Tecnología inadecuada.
  • Ausencia de antivirus.

Impacto

Es la consecuencia de las distintas amenazas, que pueden ser financieras o no financieras. Por ejemplo:

  • Pérdida de dinero.
  • Pérdida de credibilidad.
  • Falla operativa.

Administración de Riesgos

Las estrategias para la administración de riesgos incluyen:

  • Controlar el riesgo: Fortalecer o agregar controles.
  • Eliminar el riesgo: Suprimir la causa del riesgo.
  • Compartir el riesgo: Traspasar el riesgo a un tercero (ej. seguro).
  • Aceptar el riesgo: Determinar el nivel de exposición aceptable.

Control Interno

Es una actividad o acción, manual o automatizada, diseñada para prevenir o corregir errores en los procesos.

Normas y Marcos de Referencia en Auditoría Informática

Principales Normas y Marcos

  • COSO
  • ITIL
  • ISO/IEC 27001 (anteriormente 17799)
  • COBIT

COBIT (Control Objectives for Information and Related Technologies)

COBIT es un marco de referencia que:

  • Establece un vínculo con los requerimientos del negocio.
  • Organiza las actividades de TI en un modelo de procesos generalmente aceptado.
  • Identifica los principales recursos de TI utilizados.

Dominios de COBIT para la Gobernanza de TI

Para gobernar las TI, COBIT determina las actividades y riesgos a través de cuatro dominios principales:

  • Dominio 1: Planear y Organizar (PO): Define estrategias y tácticas.
  • Dominio 2: Adquirir e Implementar (AI): Se enfoca en implementar e integrar los procesos de negocio.
  • Dominio 3: Entregar y Dar Soporte (DS): Asegura la entrega de los servicios requeridos.
  • Dominio 4: Monitorear y Evaluar (ME): Evalúa la calidad y el cumplimiento.

Requerimientos de Negocio de la Información según COBIT

La norma COBIT establece tres tipos de requerimientos de negocio para la información:

  • De Calidad: Relacionados con la calidad y el costo de la información.
  • Fiduciarios: Enfocados en la efectividad y eficiencia de la información.
  • De Seguridad: Aseguran que la información sea confidencial, íntegra y disponible.

Atributos de la Información

  • Efectividad: La información relevante se entrega de manera oportuna, correcta y consistente.
  • Eficiencia: Relación calidad-costo, buscando la utilización óptima de los recursos.
  • Confidencialidad: Protección de la información para evitar su divulgación no autorizada.
  • Integridad: Precisión y suficiencia de la información.
  • Cumplimiento: Adherencia a leyes, regulaciones y acuerdos contractuales.
  • Confiabilidad de la Información: La información es apropiada y fidedigna para la administración.

Conceptos Fundamentales de Sistemas de Información

¿Qué es un Sistema Informático?

Es la integración de cuatro elementos clave: hardware, software, datos y usuarios.

Objetivo de un Sistema Informático

Su objetivo principal es el procesamiento automático de datos, utilizando computadoras.

¿Qué son los Datos?

Son símbolos que representan hechos, situaciones, condiciones o valores.

¿Qué es la Información?

Es el resultado de procesar o transformar datos. La información es significativa y útil para el usuario.

Seguridad de la Información

Definición de Seguridad Informática

Es la disciplina que se ocupa de diseñar normas, procedimientos, métodos y técnicas para proveer condiciones seguras y confiables en los sistemas de información.

Principios de la Seguridad de la Información

Los principios fundamentales de la seguridad de la información son:

  • Confidencialidad
  • Integridad
  • Disponibilidad

Factores de Riesgo en Seguridad Informática

  • Impredecibles: Son inciertos y pueden ser de origen ambiental o tecnológico.
  • Predecibles: Generalmente asociados a factores humanos.

Amenazas Comunes: Virus Informáticos

Definición de Virus Informático

Es un programa que se replica, añadiendo copias de sí mismo a otros programas o sistemas.

Características del Virus Informático

  • Autorreproducción.
  • Infección.

Propósitos del Virus Informático

Su principal propósito es infectar el software y el hardware de un sistema.

Clasificación de Virus Informáticos

  • Genérico o de archivo.
  • Mutante.
  • Recombinable.
  • Para redes.
  • De sector de arranque.

Factores Humanos en la Seguridad

Hackers

Son personas que invaden sistemas a los que no tienen acceso autorizado, a menudo para probar sus habilidades o demostrar fallas en la seguridad del sistema.

Crackers

Son individuos que buscan destruir parcial o totalmente un sistema, o explotarlo para obtener un beneficio personal ilícito.

Mecanismos de Seguridad Informática

Son técnicas o herramientas utilizadas para fortalecer la confidencialidad, la integridad y la disponibilidad de la información.

Tipos de Mecanismos de Seguridad

  • Preventivos: Actúan antes de que ocurra un incidente, con la función de detener agentes no deseados.
  • Correctivos: Actúan después de ocurrido el hecho, corrigiendo las consecuencias del incidente.

Estrategias para Fortalecer los Principios de Seguridad

  • Fortalecer la Confidencialidad: Mediante el encriptado de datos.
  • Fortalecer la Integridad: Con el uso de antivirus, firewalls y software para sincronizar transacciones.
  • Fortalecer la Disponibilidad: A través de planes de contingencia y respaldo de datos.