Rúbriques
...

Auditoria de sistemes d'informació. Amenaces de seguretat de la informació. Tecnologia de la informació

L’auditoria dels sistemes d’informació proporciona dades rellevants i precises sobre el funcionament de la IP. A partir de les dades obtingudes, és possible planificar activitats per millorar l'eficiència de l'empresa. La pràctica de realitzar una auditoria d’un sistema d’informació consisteix en comparar l’estàndard, la situació real. Estudien les normes, normes, regulacions i pràctiques aplicables en altres empreses. Quan realitza una auditoria, un empresari té una idea de com es diferencia la seva empresa d’una empresa d’èxit normal d’una zona similar.

Vista general

La tecnologia de la informació al món modern està extremadament desenvolupada. És difícil imaginar una empresa que no tingui sistemes d'informació en servei:

  • global;
  • local.

És mitjançant IP que una empresa pot funcionar amb normalitat i mantenir-se al dia. Aquestes metodologies són necessàries per a un intercanvi ràpid i complet d’informació amb l’entorn, cosa que permet a l’empresa adaptar-se als canvis d’infraestructura i als requisits del mercat. Els sistemes d’informació han de satisfer diversos requisits que canvien amb el pas del temps (s’introdueixen nous desenvolupaments, estàndards, s’apliquen algorismes actualitzats). En qualsevol cas, la tecnologia de la informació permet accedir als recursos de forma ràpida i aquest problema es resol mitjançant la propietat intel·lectual. A més, sistemes moderns:

  • escalable
  • flexible;
  • fiable;
  • segur.

Les tasques principals de l’auditoria dels sistemes d’informació són identificar si la IP implementada compleix els paràmetres especificats.

auditoria de sistemes d'informació

Auditoria: tipus

Molt sovint s’utilitza l’anomenada auditoria de procés del sistema d’informació. Exemple: experts externs analitzen sistemes implementats per a diferències d’estàndards, inclòs l’estudi del procés de producció, el resultat del qual és programari.

Es pot realitzar una auditoria destinada a identificar com s’utilitza correctament el sistema d’informació a l’obra. La pràctica de l'empresa es compara amb els estàndards del fabricant i exemples coneguts de les corporacions internacionals.

Una auditoria del sistema de seguretat de la informació de l'empresa afecta l'estructura organitzativa. L’objectiu d’aquest esdeveniment és trobar taques primes al personal del departament d’informàtica i identificar problemes, així com formular recomanacions per a la seva solució.

Finalment, l’auditoria del sistema de seguretat de la informació té com a objectiu el control de qualitat. A continuació, els experts convidats avaluen l’estat dels processos a l’empresa, proven el sistema d’informació implementat i treuen algunes conclusions sobre la informació rebuda. Normalment s’utilitza el model TMMI.

Objectius d’auditoria

Una auditoria estratègica de l’estat dels sistemes d’informació permet identificar punts febles en la propietat intel·lectual implementada i identificar on l’ús de la tecnologia ha estat ineficaç. A la sortida d’un procés d’aquest tipus, el client tindrà recomanacions per eliminar les mancances.

Una auditoria permet avaluar el cost de fer canvis a l'estructura actual i el temps que es tardarà. Els especialistes que estudien l’estructura d’informació actual de l’empresa us ajudaran a triar les eines per implementar el programa de millora, tenint en compte les característiques de l’empresa. A partir dels resultats, també podeu fer una valoració precisa de quants recursos necessita l’empresa.S’analitzaran la producció intel·lectual, monetària, de producció.

Esdeveniments

L’auditoria interna dels sistemes d’informació inclou la implementació d’activitats com:

  • Inventari informàtic;
  • identificació de la càrrega en estructures d'informació;
  • avaluació d’estadístiques, dades obtingudes durant l’inventari;
  • determinar si els requisits del negoci i les capacitats de la IP implementada són coherents;
  • generació d’informes;
  • elaboració de recomanacions;
  • formalització del fons NSI.

Resultat de l'auditoria

Una auditoria estratègica de l’estat dels sistemes d’informació és un procediment que: permet identificar els motius de la falta d’efectivitat del sistema d’informació implementat; predir el comportament de la IP a l’hora d’ajustar els fluxos d’informació (nombre d’usuaris, volum de dades); proporcionar solucions informades que ajudin a augmentar la productivitat (adquisició d’equips, millora del sistema implementat, substitució); donar recomanacions dirigides a millorar la productivitat dels departaments de l’empresa i optimitzar les inversions en tecnologia. I també per desenvolupar mesures que millorin el nivell de qualitat del servei dels sistemes d’informació.

Això és important!

No hi ha cap IP universal que s'adapti a cap empresa. Hi ha dues bases comunes sobre les quals podeu crear un sistema únic per als requisits d'una empresa determinada:

  • 1C
  • Oracle

Però recorda que aquesta només és la base, no més. Totes les millores per fer efectiva una empresa, cal programar tenint en compte les característiques d’una empresa determinada. Segurament, haureu d’introduir funcions que faltaven prèviament i desactivar les que preveu el conjunt bàsic. La tecnologia moderna d'auditoria dels sistemes d'informació bancària ajuda a comprendre exactament quines característiques hauria de tenir una IP i quines necessitats s'han d'excloure perquè el sistema corporatiu sigui òptim, eficient, però no massa "pesat".

auditoria estratègica de l’estat dels sistemes d’informació

Auditoria de seguretat de la informació

Una anàlisi per identificar amenaces a la seguretat de la informació pot ser de dos tipus:

  • extern;
  • intern.

El primer comporta un procediment únic. Organitzat pel seu responsable de l'empresa. Es recomana practicar regularment aquesta mesura per mantenir la situació sota control. Algunes empreses anònimes i organitzacions financeres han introduït un requisit per a la implementació d'una auditoria externa de seguretat informàtica.

Intern: es tracta de activitats regulades regularment per l’acte regulador local “Reglament d’Auditoria Interna”. Es forma un pla anual per a la reunió (està elaborat pel departament responsable de l’auditoria), afirma el director general, un altre gerent. Auditoria informàtica: diverses categories d’esdeveniments, l’auditoria de seguretat no té l’última importància.

Objectius

L’objectiu principal de l’auditoria dels sistemes d’informació en termes de seguretat és identificar riscos relacionats amb la propietat intel·lectual relacionats amb les amenaces de seguretat. A més, els esdeveniments ajuden a identificar:

  • debilitats del sistema actual;
  • compliment del sistema amb normes de seguretat de la informació;
  • nivell de seguretat actual.

Quan es realitzi una auditoria de seguretat, es formularan recomanacions que milloriran les solucions actuals i se n’introdueixin de noves, de manera que la IP actual sigui més segura i protegida de diverses amenaces.

amenaces de seguretat

Si es realitza una auditoria interna per identificar amenaces a la seguretat de la informació, es considera addicionalment:

  • política de seguretat, la capacitat de desenvolupar nous, així com altres documents que protegeixin les dades i simplifiquin la seva aplicació en el procés de producció de la corporació;
  • la formació de tasques de seguretat per als empleats del departament informàtic;
  • anàlisi de situacions amb violacions;
  • formar usuaris del sistema corporatiu, personal de manteniment en aspectes generals de seguretat.

Auditoria interna: característiques

Les tasques enumerades que s’estableixen per als empleats quan realitzen una auditoria interna dels sistemes d’informació, en essència, no són auditories. Dirigir teòricament esdeveniments només quan un expert avalua els mecanismes pels quals el sistema està segur. La persona implicada en la tasca es converteix en un participant actiu en el procés i perd la independència, ja no pot valorar de forma objectiva la situació i controlar-la.

En canvi, a la pràctica, en una auditoria interna, és gairebé impossible quedar-se al marge. El fet és que per dur a terme la feina hi participa un especialista de l’empresa, en altres ocasions dedicat a altres tasques en un camp similar. Això significa que l’auditor és el mateix empleat que té la competència per resoldre les tasques esmentades anteriorment. Per tant, heu de comprometre’s: en detriment de l’objectivitat, involucre l’empleat a la pràctica per obtenir un resultat digne.

Auditoria de seguretat: passos

Aquests són, de moltes maneres, similars als passos d’una auditoria informàtica general. Assigna:

  • inici d’esdeveniments;
  • recollir una base d’anàlisi;
  • anàlisi;
  • formació de conclusions;
  • informes

Iniciar un procediment

L’auditoria dels sistemes d’informació en termes de seguretat s’inicia quan el cap de l’empresa dóna el resultat, ja que els caps són les persones que més interessen en la verificació efectiva de l’empresa. Una auditoria no és possible si la gestió no admet el procediment.

L’auditoria dels sistemes d’informació sol ser complexa. Implica l’auditor i diverses persones que representen diferents departaments de l’empresa. La col·laboració de tots els participants en l’auditoria és important. Per iniciar una auditoria, és important parar atenció als punts següents:

  • documentar els deures, drets de l’auditor;
  • preparació, aprovació del pla d'auditoria;
  • documentar el fet que els empleats estan obligats a proporcionar tota l’assistència possible a l’auditor i a proporcionar totes les dades sol·licitades per ell.

Ja en el moment de l’inici de l’auditoria, és important establir fins a quin punt s’ auditen els sistemes d’informació. Tot i que alguns subsistemes IP són crítics i requereixen una atenció especial, d’altres no ho són i són poc importants, per tant, es permet la seva exclusió. Segurament hi haurà aquests subsistemes, la verificació dels quals serà impossible, ja que tota la informació que s’emmagatzema és confidencial.

Pla i fronteres

Abans d’iniciar el treball, es forma una llista de recursos que se suposa que es comprovaran. Pot ser:

  • informatiu;
  • programari;
  • tècnica.

Identifiquen en quins llocs es fa l’auditoria, en quines amenaces es comprova el sistema. Hi ha límits organitzatius de l’esdeveniment, aspectes de seguretat que són obligatoris a considerar durant l’auditoria. Es forma una qualificació prioritària que indica l'abast de l'auditoria. Aquests límits, així com el pla d’acció, són aprovats pel director general, però són sotmesos prèviament pel tema de la reunió general de treball, on hi són presents els caps de departament, un auditor i els executius de l’empresa.

Recuperació de dades

Quan es fa una auditoria de seguretat, els estàndards per a auditar els sistemes d'informació són tals que l'etapa de recollida d'informació és la més llarga i laboriosa. Per regla general, la IP no disposa de documentació per a això, i l’auditor es veu obligat a treballar estretament amb nombrosos col·legues.

Per tal que les conclusions es facin competents, l’auditor ha de rebre un màxim de dades. L’auditor s’assabenta sobre com s’organitza el sistema d’informació, com funciona i en quina condició es troba a partir de documentació organitzativa, administrativa, tècnica, en el transcurs de la investigació i aplicació independents de programari especialitzat.

Documents requerits en el treball de l'auditor:

  • estructura organitzativa dels departaments al servei de propietat intel·lectual;
  • estructura organitzativa de tots els usuaris.

L’auditor entrevista els empleats i identifica:

  • Proveïdor
  • propietari de dades;
  • dades d’usuari.

finalitat d’auditar els sistemes d’informació

Per fer-ho, heu de saber:

  • principals tipus d'aplicacions IP;
  • nombre, tipus d’usuaris;
  • serveis proporcionats als usuaris.

Si l’empresa disposa de documents sobre IP de la llista següent, cal proporcionar-los a l’auditor:

  • descripció de metodologies tècniques;
  • Descripció dels mètodes per automatitzar funcions;
  • diagrames funcionals;
  • documents de treball, de projecte.

Identificació de l’estructura d’IP

Per obtenir conclusions correctes, l’auditor hauria de comprendre al màxim les característiques del sistema d’informació implementat a l’empresa. Heu de saber quins són els mecanismes de seguretat, com es distribueixen al sistema per nivells. Per fer-ho, esbrineu:

  • la presència i característiques dels components del sistema utilitzat;
  • funcions dels components;
  • gràfics;
  • entrades
  • interacció amb diversos objectes (externs, interns) i protocols, canals per a això;
  • plataformes aplicades al sistema.

Els avantatges aportaran esquemes:

  • estructural;
  • fluxos de dades.

Estructures:

  • instal·lacions tècniques;
  • Programari
  • suport a la informació;
  • components estructurals.

A la pràctica, molts dels documents es preparen directament durant l’auditoria. La informació només es pot analitzar quan es recopili la quantitat màxima d’informació.

Auditoria de seguretat IP: anàlisi

Hi ha diverses tècniques utilitzades per analitzar les dades obtingudes. L’elecció a favor d’una específica es basa en les preferències personals de l’auditor i en les particularitats d’una determinada tasca.

estàndards d'auditoria del sistema d'informació

L’enfocament més complex consisteix en analitzar els riscos. Per al sistema d’informació es formen requisits de seguretat. Es basen en les característiques d’un sistema particular i el seu entorn, així com les amenaces inherents a aquest entorn. Els analistes coincideixen que aquest enfocament requereix els majors costos laborals i la màxima qualificació de l’auditor. La bona metodologia per a l'anàlisi de la informació i l'aplicabilitat de les opcions seleccionades al tipus d'IP és determinat per la bona valoració del resultat.

Una opció més pràctica és recórrer a estàndards de seguretat de dades. Aquests són un conjunt de requisits. És adequat per a diverses IP, ja que la metodologia es desenvolupa sobre la base de les empreses més grans de diferents països.

A partir de les normes es dedueix quins són els requisits de seguretat, segons el nivell de protecció del sistema i la seva afiliació a una determinada institució. Depèn molt de la finalitat de la propietat intel·lectual. La tasca principal de l’auditor és determinar correctament quin conjunt de requisits de seguretat és rellevant en un cas determinat. Trieu una tècnica mitjançant la qual avaluen si els paràmetres del sistema existents compleixen els estàndards. La tecnologia és molt simple, fiable i, per tant, estesa. Amb petites inversions, el resultat pot ser conclusions precises.

Descuidar és inacceptable.

La pràctica demostra que molts gestors, sobretot petites empreses, així com aquelles empreses de les quals operen des de fa temps i no pretenen dominar totes les últimes tecnologies, són més aviat preocupades per l’auditoria dels sistemes d’informació perquè simplement no s’adonen de la importància d’aquesta mesura. Normalment, només els danys a l’empresa provoquen que les autoritats prenguin mesures per verificar, identificar riscos i protegir l’empresa. D’altres s’enfronten al fet que roben informació del client, d’altres es filtren de les bases de dades de contraparts o deixen informació sobre els avantatges clau d’una determinada entitat. Els consumidors ja no confien en l’empresa tan aviat com es faci públic el cas i l’empresa pateix més danys que només una pèrdua de dades.

tecnologia de la informació

Si hi ha una possibilitat de fuites d'informació, és impossible construir un negoci efectiu que tingui bones oportunitats ara i en el futur. Qualsevol empresa té dades que són valuoses per a tercers i han de ser protegides. Per tal que la protecció estigui al màxim nivell, cal una auditoria per identificar punts febles. Ha de tenir en compte els estàndards internacionals, les metodologies, els darrers desenvolupaments.

A l’auditoria:

  • avaluar el nivell de protecció;
  • analitzar les tecnologies aplicades;
  • ajustar els documents de seguretat;
  • simular situacions de risc en què sigui possible la fugida de dades;
  • recomanem la implementació de solucions per eliminar vulnerabilitats.

Realitzeu aquests esdeveniments d'una de les tres maneres:

  • actiu;
  • expert;
  • revelar el compliment dels estàndards.

Formulari d’auditoria

L’auditoria activa implica avaluar el sistema que està contemplant un hacker potencial. El seu punt de vista és que els auditors “intenten” ells mateixos: estudien la protecció de xarxa, per la qual utilitzen programes especialitzats i tècniques úniques. També és necessària una auditoria interna, també realitzada des del punt de vista del presumpte infractor que vol robar dades o interrompre el sistema.

tecnologia d'auditoria de sistemes d'informació bancària

Una auditoria experta comprova si el sistema implementat és ideal. Quan s'identifica el compliment dels estàndards, es pren com a base una descripció abstracta dels estàndards amb els quals es compara l'objecte existent.

Conclusió

L’auditoria realitzada correctament i qualitativament permet obtenir els resultats següents:

  • minimitzar la probabilitat que es produeixi un atac de pirata informàtic amb èxit;
  • l'excepció d'un atac basat en un canvi en l'arquitectura del sistema i els fluxos d'informació;
  • l’assegurança com a mitjà de reducció de riscos;
  • minimització del risc fins a un nivell on es pot ignorar completament.


Afegeix un comentari
×
×
Esteu segur que voleu eliminar el comentari?
Suprimeix
×
Motiu de la queixa

La nena va intentar no gastar diners durant un mes. L'experiment li va deixar diversos sentiments

Empreses

Històries d’èxit

Equipament