SCD Servicios Informáticos - Servicios Corporativos

Auditoría Informática

¿Por qué es necesaria la Auditoria de Seguridad de la información?

La información y los procesos, sistemas y redes que le brindan apoyo constituyen importantes recursos de la empresa. La confidencialidad, integridad y disponibilidad de la información pueden ser esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimiento de las leyes y la imagen comercial.

Las organizaciones, sus redes y sistemas de información, se enfrentan en forma creciente con amenazas relativas a la seguridad, de diversos orígenes, incluyendo el fraude asistido por computadora, espionaje, sabotaje, vandalismo, incendio o inundación. Daños tales como los ataques mediante virus informáticos, "hacking" y denegación de servicio se han vuelto más comunes, ambiciosos y crecientemente sofisticados. La dependencia de las organizaciones respecto de los sistemas y servicios de información denota que ellas son más vulnerables a las amenazas concernientes a seguridad. La interconexión de las redes públicas y privadas y el uso compartido de los recursos de información incrementa la dificultad de lograr el control de los accesos. La tendencia hacia el procesamiento distribuido ha debilitado la eficacia del control técnico centralizado.

Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. La identificación de los controles que deben implementarse requiere una cuidadosa planificación y atención a todos los detalles. La administración de la seguridad de la información, exige, como mínimo, la participación de todos los empleados de la organización. También puede requerir la participación de proveedores, clientes y accionistas. Asimismo, puede requerirse el asesoramiento experto de organizaciones externas. Los controles de seguridad de la información resultan considerablemente más económicos y eficaces si se incorporan en la etapa de especificación de requerimientos y diseño.

Las empresas acuden a las auditorias externas cuando existen s íntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

Síntomas de descoordinación y desorganización:

No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante

Síntomas insatisfacción de los usuarios:

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los archivos que deben ponerse diariamente a su disposición, etc.
No se reparan los problemas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costos
- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones)
- Desviaciones Presupuestarias significativas
- Costos y plazos de nuevos proyectos (deben auditarse simultáneamente con el Desarrollo de Proyectos y con el órgano que realizó la petición)
Síntomas de Inseguridad: Evaluación de nivel de riesgos
- Seguridad Lógica
- Seguridad Física
- Confidencialidad
  
  Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales
- Continuidad del Servicio. Es un concepto a ún más importante que la Seguridad Informática y no es tenido en cuenta en la mayoría de las empresas. Establece las estrategias de continuidad de los procesos empresariales al producirse fallos informáticos mediante Planes de Contingencia Totales y Locales
- Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

En la mayoría de estos casos no es posible realizar acciones preventivas, sino sólo reparadoras, dado que el daño ya se ha producido y no se habían tomado las precauciones necesarias con la debida antelación.

Por ello insistimos en la necesidad de una correcta Auditoria Informática que permita detectar con anticipación todas las vulnerabilidades de la empresa, para así poder implementar un correcto Plan de Gestión de Riesgos Informáticos, con una inversión mínima frente a las cuantiosas pérdidas que cualquier fallo informático puede causar en la empresa.

¿Qué comprende la Auditoría de Seguridad de la información?


Quienes Somos Servicios Corporativos Consultoría informática Auditoría Informática Gestión de Riesgos Informáticos Soporte y Mantenimiento Tercerización de Servicios Clientes Partners SCD Digital Servicios PyMES Noticias Prensa	Auditoría Informática ¿Por qué es necesaria la Auditoria de Seguridad de la información? La información y los procesos, sistemas y redes que le brindan apoyo constituyen importantes recursos de la empresa. La confidencialidad, integridad y disponibilidad de la información pueden ser esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimiento de las leyes y la imagen comercial. Las organizaciones, sus redes y sistemas de información, se enfrentan en forma creciente con amenazas relativas a la seguridad, de diversos orígenes, incluyendo el fraude asistido por computadora, espionaje, sabotaje, vandalismo, incendio o inundación. Daños tales como los ataques mediante virus informáticos, "hacking" y denegación de servicio se han vuelto más comunes, ambiciosos y crecientemente sofisticados. La dependencia de las organizaciones respecto de los sistemas y servicios de información denota que ellas son más vulnerables a las amenazas concernientes a seguridad. La interconexión de las redes públicas y privadas y el uso compartido de los recursos de información incrementa la dificultad de lograr el control de los accesos. La tendencia hacia el procesamiento distribuido ha debilitado la eficacia del control técnico centralizado. Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. La identificación de los controles que deben implementarse requiere una cuidadosa planificación y atención a todos los detalles. La administración de la seguridad de la información, exige, como mínimo, la participación de todos los empleados de la organización. También puede requerir la participación de proveedores, clientes y accionistas. Asimismo, puede requerirse el asesoramiento experto de organizaciones externas. Los controles de seguridad de la información resultan considerablemente más económicos y eficaces si se incorporan en la etapa de especificación de requerimientos y diseño. Las empresas acuden a las auditorias externas cuando existen s íntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases: Síntomas de descoordinación y desorganización: No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía. Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante Síntomas insatisfacción de los usuarios: No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los archivos que deben ponerse diariamente a su disposición, etc. No se reparan los problemas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles. Síntomas de debilidades económico-financiero: Incremento desmesurado de costos Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones) Desviaciones Presupuestarias significativas Costos y plazos de nuevos proyectos (deben auditarse simultáneamente con el Desarrollo de Proyectos y con el órgano que realizó la petición) Síntomas de Inseguridad: Evaluación de nivel de riesgos Seguridad Lógica Seguridad Física Confidencialidad Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales Continuidad del Servicio. Es un concepto a ún más importante que la Seguridad Informática y no es tenido en cuenta en la mayoría de las empresas. Establece las estrategias de continuidad de los procesos empresariales al producirse fallos informáticos mediante Planes de Contingencia Totales y Locales Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio. En la mayoría de estos casos no es posible realizar acciones preventivas, sino sólo reparadoras, dado que el daño ya se ha producido y no se habían tomado las precauciones necesarias con la debida antelación. Por ello insistimos en la necesidad de una correcta Auditoria Informática que permita detectar con anticipación todas las vulnerabilidades de la empresa, para así poder implementar un correcto Plan de Gestión de Riesgos Informáticos, con una inversión mínima frente a las cuantiosas pérdidas que cualquier fallo informático puede causar en la empresa. ¿Qué comprende la Auditoría de Seguridad de la información?	© 1997 / 2011 SCD Servicios Informáticos S.R.L. Av. Monroe 5117 Buenos Aires - Argentina Tel.: 54 + 11 + 4523-2900 (Rot.) C.U.I.T.: 30-68310781-2 ventas@scd.com.ar http://www.scd.com.ar/