Bienvenido a nuestro Blog!

Seguridad en Computación e Informática

Auditoria de Sistemas

Ing. Oscar Mujica Ruiz

Colaboradores:

Alumnos B 5-5

UNFV-FIIS-2011

miércoles, 30 de noviembre de 2011

Observaciones de Auditoria III- Ejemplos

Observación Comisión 1 (Descargar)
Observación Comisión 3 (Descargar)
Observación Comisión 4 (Descargar)
Observación Comisión 5 (Descargar)
Observación Comisión 6 (Descargar)
Observación Comisión 7 (Descargar)
Observación Comisión 8 (Descargar)
Observación Comisión 9 (Descargar)

miércoles, 23 de noviembre de 2011

Observaciones de Auditoria II- Ejemplos

Observación Comisión 1 (Descargar)
Observación Comisión 2 (Descargar)
Observación Comisión 3 (Descargar)
Observación Comisión 4 (Descargar)
Observación Comisión 5 (Descargar)
Observación Comisión 6 (Descargar)
Observación Comisión 7 (Descargar)
Observación Comisión 8 (Descargar)
Observación Comisión 9 (Descargar)

martes, 8 de noviembre de 2011

domingo, 30 de octubre de 2011

Controles & Auditoría (VII)

CONTROLES PREVENTIVOS:
·         Son más rentables.
·         Deben quedar incorporados en los sistemas.
·         Evitan costos de corrección o reproces.
CONTROLES DETECTIVOS
·         Son más costosos que los preventivos.
·         Miden la efectividad de los preventivos.
·         Algunos errores no pueden ser evitados en la etapa preventiva.
·         Incluyen revisiones y comparaciones (registro de desempeño).
·         Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones.
·         Límites de transacciones, passwords, edición de reportes.
CONTROLES CORRECTIVOS
·         Acciones y procedimientos de corrección (la recurrencia).
·         Documentación y reportes  que informan a la Gerencia, supervisando los asuntos hasta que son corregido o solucionados.
Los controles correctivos permiten el reestablecimiento de la actividad después de ser detectado el evento no deseable y la modificación de las acciones que propiciaron su ocurrencia. Estos controles se establecen cuando los anteriores no operan y permiten mejorar las deficiencias; por lo general, actúan con los controles detectivos, implican reprocesos y son más costosos porque actúan cuando ya se han presentado los hechos que implican pérdidas para la organización. La mayoría son de tipo administrativo y requieren políticas o procedimientos para su ejecución.
REPROCESOS:
El deseo de cambio surge cuando se advierte que existe un espacio lo que se hace y lo que se desea hacer en materia de: Productividad, calidad y satisfacción de los participantes.
·         Insatisfacción – Crisis – Problemas-
·         Reconocimiento de la necesidad de Cambiar.
Acción tomada sobre un producto no conforme para que cumpla con los requisitos, una corrección puede ser por ejemplo un reproceso.
Diferencias entre reproceso y reparación:
Ambas, reproceso y reparación se dan sobre un producto, es decir algo que ya es el resultado final de un proceso, ambas en el momento de la reparación o reproceso son productos no conformes, la diferencia radica en que el reproceso generalmente se da a un producto no conforme que generalmente no ha llegado al cliente y lo único que se le puede hacer es reprocesarlo, recordemos que el prefijo re significa repetición, es decir ese producto no conforme va a pasar de nuevo por el proceso que paso previamente para que se genere de manera conforme (ejemplo: partes de acero que no cumplen especificaciones se vuelven a fundir para hacerlas a modo que cumplan). Por otro lado la reparación puede o no darse a un producto que llego al cliente, y que puede o no haya sido conforme alguna vez, entre ellos como la norma lo menciona esta el mantenimiento, (por ejemplo un coche sale de la fabrica conforme pero con el tiempo y desgaste comienza a fallar y se manda a darle mantenimiento y a veces reparar, ya sea la transmisión, embrague u otra parte). 
Deseas saber más?
DESCARGAR
       

Controles & Auditoría (VI)

CONTROL.
Es el uso o establecimiento de todos los medios en un negocio para promover, dirigir, restringir, gobernar y verificar varias actividades con el fin de ver que los objetivos son alcanzados. Esos medios incluyen, pero no se limitan, la forma de organizarse, políticas, procedimientos, sistemas, instrucciones, normas, comités, catálogos de cuentas, pronósticos, presupuestos, programas, reportes, registros, métodos, mecanismos y auditoría interna.


Actualmente Control es…

… cualquier acción tomada por la Gerencia para mejorar la probabilidad de que los objetivos establecidos sean alcanzados.

… Sistema de Control es la integración (o el conjunto) de los componentes o actividades que son usados por la organización para alcanzar sus objetivos y metas.

Se diseñan para cumplir varias funciones.

Preventivos: Anticipan eventos no deseados antes de que sucedan
Son más rentables
Deben quedar incorporados en los sistemas
Evitan costos de corrección o reproceso

Son más costosos que los preventivos
Miden la efectividad de los preventivos
Algunos errores no pueden ser evitados en la etapa preventiva
Incluyen revisiones y comparaciones (registro de desempeño)

Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones y  técnicas automatizadas.
Límites de transacciones, passwords, edición de reportes y auditoría interna.

Acciones y procedimientos de corrección (la recurrencia)
Documentación y reportes que informan a la Gerencia, supervisando los asuntos hasta que son corregidos o solucionados…
Deseas saber más?
DESCARGAR
       


Controles & Auditoría (V)

CONTROLES DE PREVENCION

Prevención de la filtración a la información
Sin las medidas preventivas adecuadas, las aplicaciones son vulnerables a varios tipos de ataques de seguridad. Un tipo particular a pesar de ser una de las vulnerabilidades mas documentadas, hoy en día es el denominado SQL injection.
Utilizando este método, un hacker puede pasar cadenas de entrada a una aplicación con la esperanza de conseguir acceso no autorizado a la base de datos.

¿Qué es SQL Injection?
Una inyección SQL sucede cuando se inserta o inyecta un código SQL invasor dentro de otro código SQL para alterar su funcionamiento normal y hacer que se ejecute maliciosamente el código invasor en la base de datos.
Consulta: “select * from usuario where user=’$user’ ”;
Correcto Funcionamiento: “select * from usuario whereuser=’marco’ ”;
SQL malicioso: “select * from usuario where user= ’’ or ‘1’ =’1’ ”;
Aunque existen diversas técnicas de proteger servidores y siguen encontrándose hoy en día a parte de las buenas prácticas de programación, es necesario utilizar software/módulos de apoyo que nos ayuden a tener nuestros servidores web más seguros frente a inyecciones SQL.
Por ejemplo tenemos la herramienta GreenSQL, que es un firewall de aplicación, que se interpone a modo de proxy entre el servidor de MySQL y la aplicación web. Es capaz de filtrar las sentencias y proteger las bases de datos de ataques de tipo SQL injection.

Las peticiones llegan a nuestra aplicación web, se envían al puerto por el que escucha GreenSQL, que las analiza y las reenvía al servidor MSQL. GreenSQL puede instalarse en el mismo sistema donde reside la base de datos o en otro diferente.
Deseas saber más?
DESCARGAR
       

Controles & Auditoría (IV)

Control

Verificar la identidad del personal de sistemas para el acceso al área de sistemas mediante un tarjeta de identificación
Objetivos del control: Permitir el acceso sólo al personal autorizado a las instalaciones
 
Descripción:
Una persona debe poseer su tarjeta de identificación y su número de identificación personal que deberá ser utilizado en la puerta de ingreso al área. Con una base de datos del personal y el correcto número de identificación se permitirá el acceso  a las personas

La base de datos debe contener los datos de las personas autorizadas, estos datos incluirán lo siguiente:

·         Nombre, posición, número de identificación
·         Tipos de acceso ( permanente, temporal)
·         Hora de ingreso y egreso
·         Razones de la visita
·         Nombre de la compañía

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Blogger Templates - Premium Blogger Themes