Auditoría y seguridad del sistema
Auditoría del sistema
Es una investigación para revisar el desempeño de un sistema operativo. Los objetivos de realizar una auditoría del sistema son los siguientes:
Comparar el rendimiento real y planificado.
Verificar que los objetivos declarados del sistema siguen siendo válidos en el entorno actual.
Evaluar el logro de los objetivos planteados.
Asegurar la confiabilidad de la información financiera y de otro tipo basada en computadora.
Para asegurar todos los registros incluidos durante el procesamiento.
Para garantizar la protección contra fraudes.
Auditoría del uso del sistema informático
Los auditores de procesamiento de datos auditan el uso del sistema informático para controlarlo. El auditor necesita datos de control que se obtienen por el propio sistema informático.
El auditor del sistema
El papel del auditor comienza en la etapa inicial del desarrollo del sistema para que el sistema resultante sea seguro. Describe una idea de la utilización del sistema que se puede registrar, lo que ayuda a planificar la carga y a decidir las especificaciones de hardware y software. Da una indicación del uso racional del sistema informático y del posible uso indebido del sistema.
Prueba de auditoría
Una prueba de auditoría o registro de auditoría es un registro de seguridad que se compone de quién ha accedido a un sistema informático y qué operaciones se realizan durante un período de tiempo determinado. Las pruebas de auditoría se utilizan para realizar un seguimiento detallado de cómo han cambiado los datos en el sistema.
Proporciona evidencia documental de varias técnicas de control a las que está sujeta una transacción durante su procesamiento. Los ensayos de auditoría no existen de forma independiente. Se llevan a cabo como parte de la contabilidad para recuperar transacciones perdidas.
Métodos de auditoría
La auditoría se puede realizar de dos formas diferentes:
Auditoría alrededor de la computadora
- Tome muestras de entradas y aplique manualmente las reglas de procesamiento.
- Compare las salidas con las de la computadora.
Auditoría a través de la computadora
- Establecer prueba de auditoría que permita examinar resultados intermedios seleccionados.
- Los totales de control proporcionan comprobaciones intermedias.
Consideraciones de auditoría
Las consideraciones de auditoría examinan los resultados del análisis mediante el uso de narrativas y modelos para identificar los problemas causados debido a funciones fuera de lugar, procesos o funciones divididos, flujos de datos rotos, datos faltantes, procesamiento redundante o incompleto y oportunidades de automatización no abordadas.
Las actividades de esta fase son las siguientes:
- Identificación de los problemas ambientales actuales
- Identificación de las causas del problema
- Identificación de soluciones alternativas
- Evaluación y análisis de viabilidad de cada solución
- Selección y recomendación de la solución más práctica y adecuada
- Estimación de costos del proyecto y análisis de costos y beneficios
Seguridad
La seguridad del sistema se refiere a proteger el sistema contra robos, accesos y modificaciones no autorizados y daños accidentales o no intencionales. En los sistemas informáticos, la seguridad implica la protección de todas las partes del sistema informático, que incluye datos, software y hardware. La seguridad de los sistemas incluye la privacidad y la integridad del sistema.
System privacy trata de proteger los sistemas de las personas para que no se acceda a ellos ni se utilicen sin el permiso / conocimiento de las personas interesadas.
System integrity se preocupa por la calidad y confiabilidad de los datos sin procesar y procesados en el sistema.
Medidas de control
Existe una variedad de medidas de control que se pueden clasificar de la siguiente manera:
Apoyo
Copia de seguridad periódica de las bases de datos diaria / semanal según el tiempo y el tamaño.
Copia de seguridad incremental a intervalos más cortos.
Las copias de seguridad se guardan en una ubicación remota segura, especialmente necesaria para la recuperación ante desastres.
Se ejecutan sistemas duplicados y todas las transacciones se reflejan si se trata de un sistema muy crítico y no puede tolerar ninguna interrupción antes de almacenarlo en el disco.
Control de acceso físico a las instalaciones
- Cerraduras físicas y autenticación biométrica. Por ejemplo, huella digital
- Tarjetas de identificación o pases de entrada controlados por personal de seguridad.
- Identificación de todas las personas que leen o modifican datos y lo registran en un archivo.
Uso de control lógico o de software
- Sistema de contraseña.
- Cifrar datos / programas sensibles.
- Capacitar a los empleados sobre el cuidado / manejo de datos y la seguridad.
- Software antivirus y protección por firewall mientras está conectado a Internet.
Análisis de riesgo
Un riesgo es la posibilidad de perder algo de valor. El análisis de riesgos comienza con la planificación de un sistema seguro mediante la identificación de la vulnerabilidad del sistema y el impacto de este. Luego se elabora el plan para gestionar el riesgo y hacer frente al desastre. Se hace para acceder a la probabilidad de un posible desastre y su costo.
El análisis de riesgos es un trabajo en equipo de expertos con diferentes antecedentes, como productos químicos, errores humanos y equipos de proceso.
Se deben seguir los siguientes pasos al realizar el análisis de riesgos:
Identificación de todos los componentes del sistema informático.
Identificación de todas las amenazas y peligros que enfrenta cada uno de los componentes.
Cuantifique los riesgos, es decir, la evaluación de la pérdida en caso de que las amenazas se conviertan en realidad.
Análisis de riesgos: pasos principales
Dado que los riesgos o amenazas están cambiando y la pérdida potencial también están cambiando, los altos directivos deben realizar la gestión del riesgo de forma periódica.
La gestión de riesgos es un proceso continuo e incluye los siguientes pasos:
Identificación de medidas de seguridad.
Cálculo del costo de implementación de medidas de seguridad.
Comparación del costo de las medidas de seguridad con la pérdida y probabilidad de amenazas.
Selección e implementación de medidas de seguridad.
Revisión de la implementación de medidas de seguridad.