SlideShare ist ein Scribd-Unternehmen logo

Clase 3 metodologías de control interno, seguridad y auditoría

Als PPSX, PDF herunterladen
E
edithua

Los recursos son los activos a proteger del sistema informático de la organización, incluyendo hardware, software, elementos de comunicaciones, información almacenada, locales, personas y la imagen de la organización.

Bildung
1 von 44
Los recursos son los activos a proteger del sistema informático de la organización. Existen diferentes tipos de recursos: • Hardware (HW) : Servidores, estaciones de trabajo, equipos, etc. • Software (SW): Sistemas operativos, herramientas ofimáticas, herramientas de gestión, etc. • Elementos de comunicaciones: Dispositivos de conectividad, switches, routers, etc. • Información que se almacena, procesa y distribuye. • Locales y oficinas donde se ubican los recursos físicos y desde los que acceden los usuarios finales. • Personas que utilizan los equipos. • Imagen y reputación de la organización. Recursos del sistema
Método y Metodología Término Significado Método Modo ordenado y sistemático de proceder para llegar a un resultado o fin determinado Meto- dología Conjunto de métodos que se siguen en una disciplina científica o en un estudio que permiten abordarlo de forma organizada
La proliferación de metodologías en el mundo de la auditoría y control interno empezó en los 80, paralelamente al nacimiento y comercialización de determinadas herramientas metodológicas (SW análisis de riesgo) El uso de métodos de auditoría es casi paralelo al nacimiento de la informática
Qué es la seguridad de los Sistemas de Información?  Una de las disciplinas informáticas donde es habitual el uso de las tecnologías es la seguridad de los Sistemas de Información (SI) • Doctrina que trata los riesgos informáticos Seguridad de los SI
Relación de seguridad de SI con la auditoría La auditoría es una de las figuras involucradas en el proceso de (*)protección y preservación de la información y de sus medios de proceso El nivel de seguridad informática es un objetivo a evaluar. Está directamente relacionado con la calidad y eficacia de acciones y medidas destinadas a *
Calidad y eficacia de las mismas es el objetivo a evaluar para identificar los puntos débiles y poder mejorarlos* Preservando la entidad con contramedidas Debemos protegernos de los riesgos Informática crea riesgos Relación de seguridad de SI con la auditoría * Esta es una de las funciones de los auditores informáticos
Cualquier contramedida nace de la composición de factores: Normas Organización (Personas) Metodologías Objetivos de Control Procedimientos de Control Tecnología de seguridad Herramientas
Pirámide de contramedidas: Normas  Deben definir de forma clara y precisa todo lo que debe existir y cumplirse:  Estándares (patrón uniforme)  Políticas (traza con que se conduce un asunto o se emplean los medios para alcanzar un fin determinado)  Marco jurídico  Normas de la empresa  Experiencia  Práctica profesional No es frecuente que la normativa sea el único control de un riesgo
Pirámide de contramedidas: Organización  Son personas con :  Funciones específicas  Actuaciones concretas  Procedimientos definidos metodológicamente y aprobados por la dirección de la empresa  Este es el aspecto más importante Se pueden establecer controles sin alguno de los demás aspectos, pero no sin personas. Son éstas las que realizan los procedimientos y desarrollan los planes (Seguridad, Contingencia, Auditoría, etc.)
Pirámide de contramedidas: Metodologías Son necesarias para realizar cualquier proyecto propuesto de manera ordenada y eficaz
Pirámide de contramedidas: Objetivos de Control Objetivos a cumplir en el control de los procesos • Este es el concepto más importante después de la ORGANIZACION De un planteamiento correcto de los objetivos saldrán procedimientos eficaces y realistas
Pirámide de contramedidas: Procedimientos de Control Son los procedimientos operativos de las distintas áreas de la empresa obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control Deben estar documentados y aprobados por la Dirección
Pirámide de contramedidas: Tecnología de Seguridad  Son todos de HW o SW que a controlar un riesgo informático:  Cifradores  Autentificadores  Equipos de tolerancia a fallos  Herramientas de control, etc.
Pirámide de contramedidas: Herramientas de Control Elementos de SW que permiten definir uno o varios procedimientos de control para cumplir: Normativa Objetivo de Control
Pirámide de contramedidas: Conclusiones Todos los factores están relacionados entre sí y la calidad de c/u está relacionado con la de los demás Cuando se evalúa el nivel de Seguridad de Sistemas se está evaluando toda la pirámide y se plantea un Plan de Seguridad, que mejore todos los factores Al finalizar el plan se habrá conseguido una situación nueva, donde el nivel de control general sea superior
Plan de Seguridad Estrategia planificada de acciones y proyectos que lleven a un sistema de información y a sus centros de proceso de un situación inicial determinada a una situación mejorada
Organización de la seguridad de sistemas en las organizaciones • Seguridad corporativa • Control interno • Depto. de Informática • Dirección del plan de seguridad Comité de Seguridad • Controles generales informáticos Control informático • Plan Auditor • Dictámenes Auditoría Informática
Metodologías de evaluación de sistemas Son todas las metodologías necesarias para realizar un plan de seguridad y auditoría informáticas. Son de 2 tipos: • Auditoría informática • Análisis de Riesgos
Metodologías de evaluación de sistemas •Identifica el nivel de “exposición” por falta de controles Auditoría informática •Facilita la “evaluación” de los riesgos •Recomienda acciones costo-beneficiosas Análisis de riesgos
Definiciones claves Término Definición Amenaza Persona/cosa vista como fuente de peligro o catástrofe. Ej.: inundación, incendio, robo de datos, sabotaje, aplicaciones mal diseñadas, falta de procedimientos de emergencia, etc. Vulnerabi- lidad Situación creada por falta de uno o varios controles, con lo que la AMENAZA pudiera acaecer y afectar el entorno informático. Ej.: falta de control de: acceso lógico/versiones, falta de cifrado en telecomunicaciones, etc. Riesgo Probabilidad de que una AMENAZA llegue a acaecer por la existencia de una VULNERABILIDAD Exposición o Impacto Evaluación del efecto del RIESGO. El impacto es la medición y valoración del daño que podría producir a la organización un incidente de seguridad
Clasificación de las Amenazas  Existen dos maneras de estudiar las amenazas atendiendo bien a la clasificación de las mismas o a la intencionalidad de ellas.  Clasificación principal de las amenazas:  Amenazas naturales: Inundación, incendio, tormentas, etc.  Amenazas de agentes externos: Virus informáticos, sabotajes terroristas, disturbios, etc.  Amenazas de agentes internos: Empleados descuidados con poca formación o descontentos, error en el uso de herramientas/uso del sistema, etc.
A qué están ligadas las Vulnerabilidades?  Las vulnerabilidades pueden estar ligadas a lo siguiente:  Aspectos organizativos.  Factor humano.  Equipos, programas, locales, condiciones ambientales en las que esta el sistema.
Valoración del Impacto  Para una correcta valoración del impacto es aconsejable tener en cuenta tanto los daños tangibles, cómo los daños intangibles (incluida la información). Para ello es necesario reunirse con los responsables de departamentos y evaluar el grado de impacto que podría tener en su ámbito de trabajo.  Existe una escala cuantitativa/cualitativa para medir el impacto del daño:
Defensas, salvaguardas o medidas de seguridad Una defensa, salvaguarda o medida de seguridad es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas o el nivel de impacto en la organización. Medidas de seguridad activa: utilizada para anular o reducir el riesgo de una amenaza. Medidas de seguridad pasiva: empleada para reducir el impacto cuando se produzca un incidente de seguridad. Defensas físicas: implican el control de acceso físico a los recursos y las condiciones ambientales en que tienen que ser utilizados. Defensas lógicas: se encuentran relacionadas con la protección conseguida mediante distintas herramientas y técnicas informáticas. Nivel de riesgo residual: se obtiene tras un nuevo proceso de evaluación de riesgos teniendo en cuenta que los recursos ya se encuentran protegidos por las medias de seguridad seleccionadas.
Que podemos hacer respecto a los riesgos…  Evitarlo, ej. No construir un centro donde hay peligros de inundaciones  Transferirlo, ej. Uso de un centro de procesa- miento de datos contratado  Reducirlo, ej. sistemas de detección y extinción de incendios  Asumirlo : es lo que se hace si no se controla el riesgo en absoluto Para los 3 primeros, se actúa y se establecen controles o contramedidas
Propósito de las metodologías Establecer y mejorar un entramado de contramedidas que garanticen que la probabilidad de que las amenazas se materialicen en hechos (por falta de control) sea lo más baja posible o al menos quede reducida de una forma razonable en costo-beneficio
Tipos de Metodologías  Todas la metodologías existentes desarrolladas y utilizadas en la auditoría y el control interno se pueden agrupar en 2 grandes familias:  Cuantitativas > basadas en un modelo matemático numérico que ayuda a la realización del trabajo  Cualitativas > basadas en el criterio y raciocinio humano capaz de:  Definir un proceso de trabajo  Seleccionar en base a la experiencia acumulada
Metodologías Cuantitativas Diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numéricos Hay varios coeficientes que son usados para el juego de simulación que permite elegir entre varias contramedidas en el análisis de riesgo Inconvenientes de estas metodologías: Debilidad de los datos, de la probabilidad de ocurrencia, por los pocos registros de incidentes y la poca significación de los mismos a nivel mundial Imposibilidad/dificultad de evaluar económicamente todos los impactos que pueden acaecer Ventaja: Poder usar un modelo matemático para el análisis
Metodologías Cualitativas/Subjetivas Basadas en métodos estadísticos y lógica borrosa Precisan un profesional experimentado Requieren menos recurso humano/tiempo que las metodologías cuantitativas
Metodologías más comunes Análisis de riesgos o diagnósticos de seguridad Plan de contingencia Auditoría de controles generales
Comparación entre ambos tipos de metodologías (PROS) CUANTITATIVA CUALITATIVA • Enfoca pensamientos mediantes el uso de números • Facilita la comparación de vulnerabilidades muy distintas • Proporciona una cifra justificante para cada contramedida • Enfoca lo amplio que se desee • Plan de trabajo flexible y reactivo • Se concentra en la identificación de eventos • Incluye factores intangibles
Comparación entre ambos tipos de metodologías (CONTRAS) CUANTITATIVA CUALITATIVA • Estimación de probabilidad de estadísticas fiables inexistentes • Estimación de las pérdidas potenciales sólo sí son valores cuantificables • Metodologías estándares • Difíciles de mantener o modificar • Dependencia de un profesional • Depende fuertemente de la habilidad y calidad del personal involucrado • Pueden excluir riesgos significantes desconocidos • Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular • Dependencia de un profesional
Funcionamiento de SW de análisis de riesgo Creación de los informes Simulaciones (análisis “Que pasa si…”) Identificar las contramedidas y el coste Calcular el impacto Identificar los riesgos Cuestionario
Principales métodos de análisis y gestión de riesgos  CRAMM (CCTA Risk Analysis and Management Method)  PRIMA (Prevención de Riesgos Informáticos con Metodología Abierta)  MELISA  MAGERIT  OCTAVE
Existen metodologías que versan sobre el proceso necesario para obtener dicho plan
Plan de contingencia El auditor debe conocer perfectamente los conceptos de un plan de contingencia para poder auditarlo Es una estrategia planificada constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminada a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa
Fases de un plan Análisis y Diseño • Estudio de la problemática, las necesidades de recursos, alternativas de respaldo y se analiza el coste/beneficio de las mismas Desarrollo del plan • Desarrollo de la estrategia, implantándose hasta el final de todas las acciones previstas Pruebas y Mantenimiento • En esta fase se definen las pruebas, sus características, sus ciclos y se realiza la 1era prueba como comprobación de todo el trabajo realizado y mentalizar al personal implicado
Fases de análisis y diseño  En la forma de desarrollar esta fase se diferencian las dos familias metodológicas: Risk Analisys se basa en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan Business Impact Se basa en el estudio del impacto (pérdida económica o de imagen) que ocasiona la falta de algún recurso de los que soporta la actividad del negocio
Metodologías aplicables a la auditoría informática  Se encuentran 2 familias:  Auditorías de controles generales (Compañías auditoras profesionales que son una homologación de las mismas a nivel internacional)  Auditorías de los auditores internos
El plan auditor informático  Es el esquema metodológico del auditor informático.  Las partes de un plan auditor informático deben ser al menos las siguientes:  Funciones  Procedimientos para las distintas áreas de auditoría  Tipos de auditorías que realiza  Sistema de evaluación y los distintos aspectos que evalúa  Nivel de exposición  Seguimiento de las acciones correctoras  Plan quinquenal  Plan de trabajo anual

Empfohlen

AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
GRECIAGALLEGOS
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
Acosta Escalante Jesus Jose
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia prima
Paolita Gomez
 
Auditoria de sistema etapas
Auditoria de sistema etapasAuditoria de sistema etapas
Auditoria de sistema etapas
arelyochoa
 
Auditoría para servidores
Auditoría para servidoresAuditoría para servidores
Auditoría para servidores
Giansix Loyola
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Mapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de SistemasMapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de Sistemas
vmtorrealba
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 

Empfohlen

AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
GRECIAGALLEGOS
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
Acosta Escalante Jesus Jose
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia prima
Paolita Gomez
 
Auditoria de sistema etapas
Auditoria de sistema etapasAuditoria de sistema etapas
Auditoria de sistema etapas
arelyochoa
 
Auditoría para servidores
Auditoría para servidoresAuditoría para servidores
Auditoría para servidores
Giansix Loyola
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Mapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de SistemasMapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de Sistemas
vmtorrealba
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
Josefernandezzafra
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
oamz
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Ucc
oamz
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Ubaldin Gómez Carderón
 
Perfil del Auditor informatico
Perfil del Auditor informaticoPerfil del Auditor informatico
Perfil del Auditor informatico
luismarlmg
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
Tecnicas de estimacion de software
Tecnicas de estimacion de softwareTecnicas de estimacion de software
Tecnicas de estimacion de software
Ades27
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
Giovani Roberto Gómez Millán
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptx
Ramón Alexander Paula Reynoso
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
Carlos Avendaño Barria
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informatica
Leoner Parra
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
Carlos R. Adames B.
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimatica
Manuel Medina
 
Diseño arquitectónico
Diseño arquitectónicoDiseño arquitectónico
Diseño arquitectónico
Juan Pablo Bustos Thames
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría Física
Carlos R. Adames B.
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
Carolina Cols
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
Andres Reyes
 
Funciones de un administrador de base de datos
Funciones de un administrador de base de datosFunciones de un administrador de base de datos
Funciones de un administrador de base de datos
Rodolfo Kuman Chi
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]
caramelomix
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
Universidad Dominicana OYM
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistema
Nathy Ahdz
 

Weitere ähnliche Inhalte

Was ist angesagt?

Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
oamz
 
Tecnicas de estimacion de software
Tecnicas de estimacion de softwareTecnicas de estimacion de software
Tecnicas de estimacion de software
Ades27
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptx
Ramón Alexander Paula Reynoso
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
Carlos R. Adames B.
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
Carolina Cols
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
Andres Reyes
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]
caramelomix
 

Was ist angesagt? (20)

AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Ucc
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Perfil del Auditor informatico
Perfil del Auditor informaticoPerfil del Auditor informatico
Perfil del Auditor informatico
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Tecnicas de estimacion de software
Tecnicas de estimacion de softwareTecnicas de estimacion de software
Tecnicas de estimacion de software
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptx
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informatica
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimatica
 
Diseño arquitectónico
Diseño arquitectónicoDiseño arquitectónico
Diseño arquitectónico
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría Física
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
 
Funciones de un administrador de base de datos
Funciones de un administrador de base de datosFunciones de un administrador de base de datos
Funciones de un administrador de base de datos
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]
 

Ähnlich wie Clase 3 metodologías de control interno, seguridad y auditoría

Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistema
Nathy Ahdz
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
MICHELCARLOSCUEVASSA
 
Riesgo y contingencia
Riesgo y contingenciaRiesgo y contingencia
Riesgo y contingencia
MAKLG
 

Ähnlich wie Clase 3 metodologías de control interno, seguridad y auditoría (20)

Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistema
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistema
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Metodos de evaluacion del riesgo actv nro. 3
Metodos de evaluacion del riesgo actv nro. 3Metodos de evaluacion del riesgo actv nro. 3
Metodos de evaluacion del riesgo actv nro. 3
 
Auditoriadesistemas1
Auditoriadesistemas1Auditoriadesistemas1
Auditoriadesistemas1
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
 
Unidad 3 riesgos-contingencias
Unidad 3 riesgos-contingenciasUnidad 3 riesgos-contingencias
Unidad 3 riesgos-contingencias
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
 
procesos de la auditoria
procesos de la auditoriaprocesos de la auditoria
procesos de la auditoria
 
Presentacion2
Presentacion2Presentacion2
Presentacion2
 
Actividad 3.metodos pptx
Actividad 3.metodos pptxActividad 3.metodos pptx
Actividad 3.metodos pptx
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Riesgo y contingencia
Riesgo y contingenciaRiesgo y contingencia
Riesgo y contingencia
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
 

Mehr von edithua

Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
edithua
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
edithua
 

Mehr von edithua (7)

Administración de redes
Administración de redesAdministración de redes
Administración de redes
 
Semana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaSemana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad física
 
Semana 10 sistema de apoyo a decisiones
Semana 10 sistema de apoyo a decisionesSemana 10 sistema de apoyo a decisiones
Semana 10 sistema de apoyo a decisiones
 
Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)
 
Semana 8 técnicas y herramientas para el desarrollo de sw
Semana 8 técnicas y herramientas para el desarrollo de swSemana 8 técnicas y herramientas para el desarrollo de sw
Semana 8 técnicas y herramientas para el desarrollo de sw
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 

Kürzlich hochgeladen

ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
RigoTito
 
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
pvtablets2023
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
jlorentemartos
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
Wilian24
 

Kürzlich hochgeladen (20)

origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literario
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdf
 
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
 
Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024
 
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADOTIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.pptFUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
FUERZA Y MOVIMIENTO ciencias cuarto basico.ppt
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
Biografía de Charles Coulomb física .pdf
Biografía de Charles Coulomb física .pdfBiografía de Charles Coulomb física .pdf
Biografía de Charles Coulomb física .pdf
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
 
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIASISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
 

Clase 3 metodologías de control interno, seguridad y auditoría

  • 1.
  • 2. Los recursos son los activos a proteger del sistema informático de la organización. Existen diferentes tipos de recursos: • Hardware (HW) : Servidores, estaciones de trabajo, equipos, etc. • Software (SW): Sistemas operativos, herramientas ofimáticas, herramientas de gestión, etc. • Elementos de comunicaciones: Dispositivos de conectividad, switches, routers, etc. • Información que se almacena, procesa y distribuye. • Locales y oficinas donde se ubican los recursos físicos y desde los que acceden los usuarios finales. • Personas que utilizan los equipos. • Imagen y reputación de la organización. Recursos del sistema
  • 3. Método y Metodología Término Significado Método Modo ordenado y sistemático de proceder para llegar a un resultado o fin determinado Meto- dología Conjunto de métodos que se siguen en una disciplina científica o en un estudio que permiten abordarlo de forma organizada
  • 4. La proliferación de metodologías en el mundo de la auditoría y control interno empezó en los 80, paralelamente al nacimiento y comercialización de determinadas herramientas metodológicas (SW análisis de riesgo) El uso de métodos de auditoría es casi paralelo al nacimiento de la informática
  • 5. Qué es la seguridad de los Sistemas de Información?  Una de las disciplinas informáticas donde es habitual el uso de las tecnologías es la seguridad de los Sistemas de Información (SI) • Doctrina que trata los riesgos informáticos Seguridad de los SI
  • 6. Relación de seguridad de SI con la auditoría La auditoría es una de las figuras involucradas en el proceso de (*)protección y preservación de la información y de sus medios de proceso El nivel de seguridad informática es un objetivo a evaluar. Está directamente relacionado con la calidad y eficacia de acciones y medidas destinadas a *
  • 7. Calidad y eficacia de las mismas es el objetivo a evaluar para identificar los puntos débiles y poder mejorarlos* Preservando la entidad con contramedidas Debemos protegernos de los riesgos Informática crea riesgos Relación de seguridad de SI con la auditoría * Esta es una de las funciones de los auditores informáticos
  • 8. Cualquier contramedida nace de la composición de factores: Normas Organización (Personas) Metodologías Objetivos de Control Procedimientos de Control Tecnología de seguridad Herramientas
  • 9. Pirámide de contramedidas: Normas  Deben definir de forma clara y precisa todo lo que debe existir y cumplirse:  Estándares (patrón uniforme)  Políticas (traza con que se conduce un asunto o se emplean los medios para alcanzar un fin determinado)  Marco jurídico  Normas de la empresa  Experiencia  Práctica profesional No es frecuente que la normativa sea el único control de un riesgo
  • 10. Pirámide de contramedidas: Organización  Son personas con :  Funciones específicas  Actuaciones concretas  Procedimientos definidos metodológicamente y aprobados por la dirección de la empresa  Este es el aspecto más importante Se pueden establecer controles sin alguno de los demás aspectos, pero no sin personas. Son éstas las que realizan los procedimientos y desarrollan los planes (Seguridad, Contingencia, Auditoría, etc.)
  • 11. Pirámide de contramedidas: Metodologías Son necesarias para realizar cualquier proyecto propuesto de manera ordenada y eficaz
  • 12. Pirámide de contramedidas: Objetivos de Control Objetivos a cumplir en el control de los procesos • Este es el concepto más importante después de la ORGANIZACION De un planteamiento correcto de los objetivos saldrán procedimientos eficaces y realistas
  • 13. Pirámide de contramedidas: Procedimientos de Control Son los procedimientos operativos de las distintas áreas de la empresa obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control Deben estar documentados y aprobados por la Dirección
  • 14. Pirámide de contramedidas: Tecnología de Seguridad  Son todos de HW o SW que a controlar un riesgo informático:  Cifradores  Autentificadores  Equipos de tolerancia a fallos  Herramientas de control, etc.
  • 15. Pirámide de contramedidas: Herramientas de Control Elementos de SW que permiten definir uno o varios procedimientos de control para cumplir: Normativa Objetivo de Control
  • 16. Pirámide de contramedidas: Conclusiones Todos los factores están relacionados entre sí y la calidad de c/u está relacionado con la de los demás Cuando se evalúa el nivel de Seguridad de Sistemas se está evaluando toda la pirámide y se plantea un Plan de Seguridad, que mejore todos los factores Al finalizar el plan se habrá conseguido una situación nueva, donde el nivel de control general sea superior
  • 17. Plan de Seguridad Estrategia planificada de acciones y proyectos que lleven a un sistema de información y a sus centros de proceso de un situación inicial determinada a una situación mejorada
  • 18. Organización de la seguridad de sistemas en las organizaciones • Seguridad corporativa • Control interno • Depto. de Informática • Dirección del plan de seguridad Comité de Seguridad • Controles generales informáticos Control informático • Plan Auditor • Dictámenes Auditoría Informática
  • 19. Metodologías de evaluación de sistemas Son todas las metodologías necesarias para realizar un plan de seguridad y auditoría informáticas. Son de 2 tipos: • Auditoría informática • Análisis de Riesgos
  • 20. Metodologías de evaluación de sistemas •Identifica el nivel de “exposición” por falta de controles Auditoría informática •Facilita la “evaluación” de los riesgos •Recomienda acciones costo-beneficiosas Análisis de riesgos
  • 21. Definiciones claves Término Definición Amenaza Persona/cosa vista como fuente de peligro o catástrofe. Ej.: inundación, incendio, robo de datos, sabotaje, aplicaciones mal diseñadas, falta de procedimientos de emergencia, etc. Vulnerabi- lidad Situación creada por falta de uno o varios controles, con lo que la AMENAZA pudiera acaecer y afectar el entorno informático. Ej.: falta de control de: acceso lógico/versiones, falta de cifrado en telecomunicaciones, etc. Riesgo Probabilidad de que una AMENAZA llegue a acaecer por la existencia de una VULNERABILIDAD Exposición o Impacto Evaluación del efecto del RIESGO. El impacto es la medición y valoración del daño que podría producir a la organización un incidente de seguridad
  • 22. Clasificación de las Amenazas  Existen dos maneras de estudiar las amenazas atendiendo bien a la clasificación de las mismas o a la intencionalidad de ellas.  Clasificación principal de las amenazas:  Amenazas naturales: Inundación, incendio, tormentas, etc.  Amenazas de agentes externos: Virus informáticos, sabotajes terroristas, disturbios, etc.  Amenazas de agentes internos: Empleados descuidados con poca formación o descontentos, error en el uso de herramientas/uso del sistema, etc.
  • 23. A qué están ligadas las Vulnerabilidades?  Las vulnerabilidades pueden estar ligadas a lo siguiente:  Aspectos organizativos.  Factor humano.  Equipos, programas, locales, condiciones ambientales en las que esta el sistema.
  • 24. Valoración del Impacto  Para una correcta valoración del impacto es aconsejable tener en cuenta tanto los daños tangibles, cómo los daños intangibles (incluida la información). Para ello es necesario reunirse con los responsables de departamentos y evaluar el grado de impacto que podría tener en su ámbito de trabajo.  Existe una escala cuantitativa/cualitativa para medir el impacto del daño:
  • 25.
  • 26. Defensas, salvaguardas o medidas de seguridad Una defensa, salvaguarda o medida de seguridad es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas o el nivel de impacto en la organización. Medidas de seguridad activa: utilizada para anular o reducir el riesgo de una amenaza. Medidas de seguridad pasiva: empleada para reducir el impacto cuando se produzca un incidente de seguridad. Defensas físicas: implican el control de acceso físico a los recursos y las condiciones ambientales en que tienen que ser utilizados. Defensas lógicas: se encuentran relacionadas con la protección conseguida mediante distintas herramientas y técnicas informáticas. Nivel de riesgo residual: se obtiene tras un nuevo proceso de evaluación de riesgos teniendo en cuenta que los recursos ya se encuentran protegidos por las medias de seguridad seleccionadas.
  • 27. Que podemos hacer respecto a los riesgos…  Evitarlo, ej. No construir un centro donde hay peligros de inundaciones  Transferirlo, ej. Uso de un centro de procesa- miento de datos contratado  Reducirlo, ej. sistemas de detección y extinción de incendios  Asumirlo : es lo que se hace si no se controla el riesgo en absoluto Para los 3 primeros, se actúa y se establecen controles o contramedidas
  • 28.
  • 29.
  • 30. Propósito de las metodologías Establecer y mejorar un entramado de contramedidas que garanticen que la probabilidad de que las amenazas se materialicen en hechos (por falta de control) sea lo más baja posible o al menos quede reducida de una forma razonable en costo-beneficio
  • 31. Tipos de Metodologías  Todas la metodologías existentes desarrolladas y utilizadas en la auditoría y el control interno se pueden agrupar en 2 grandes familias:  Cuantitativas > basadas en un modelo matemático numérico que ayuda a la realización del trabajo  Cualitativas > basadas en el criterio y raciocinio humano capaz de:  Definir un proceso de trabajo  Seleccionar en base a la experiencia acumulada
  • 32. Metodologías Cuantitativas Diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numéricos Hay varios coeficientes que son usados para el juego de simulación que permite elegir entre varias contramedidas en el análisis de riesgo Inconvenientes de estas metodologías: Debilidad de los datos, de la probabilidad de ocurrencia, por los pocos registros de incidentes y la poca significación de los mismos a nivel mundial Imposibilidad/dificultad de evaluar económicamente todos los impactos que pueden acaecer Ventaja: Poder usar un modelo matemático para el análisis
  • 33. Metodologías Cualitativas/Subjetivas Basadas en métodos estadísticos y lógica borrosa Precisan un profesional experimentado Requieren menos recurso humano/tiempo que las metodologías cuantitativas
  • 34. Metodologías más comunes Análisis de riesgos o diagnósticos de seguridad Plan de contingencia Auditoría de controles generales
  • 35. Comparación entre ambos tipos de metodologías (PROS) CUANTITATIVA CUALITATIVA • Enfoca pensamientos mediantes el uso de números • Facilita la comparación de vulnerabilidades muy distintas • Proporciona una cifra justificante para cada contramedida • Enfoca lo amplio que se desee • Plan de trabajo flexible y reactivo • Se concentra en la identificación de eventos • Incluye factores intangibles
  • 36. Comparación entre ambos tipos de metodologías (CONTRAS) CUANTITATIVA CUALITATIVA • Estimación de probabilidad de estadísticas fiables inexistentes • Estimación de las pérdidas potenciales sólo sí son valores cuantificables • Metodologías estándares • Difíciles de mantener o modificar • Dependencia de un profesional • Depende fuertemente de la habilidad y calidad del personal involucrado • Pueden excluir riesgos significantes desconocidos • Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular • Dependencia de un profesional
  • 37. Funcionamiento de SW de análisis de riesgo Creación de los informes Simulaciones (análisis “Que pasa si…”) Identificar las contramedidas y el coste Calcular el impacto Identificar los riesgos Cuestionario
  • 38. Principales métodos de análisis y gestión de riesgos  CRAMM (CCTA Risk Analysis and Management Method)  PRIMA (Prevención de Riesgos Informáticos con Metodología Abierta)  MELISA  MAGERIT  OCTAVE
  • 39. Existen metodologías que versan sobre el proceso necesario para obtener dicho plan
  • 40. Plan de contingencia El auditor debe conocer perfectamente los conceptos de un plan de contingencia para poder auditarlo Es una estrategia planificada constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminada a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa
  • 41. Fases de un plan Análisis y Diseño • Estudio de la problemática, las necesidades de recursos, alternativas de respaldo y se analiza el coste/beneficio de las mismas Desarrollo del plan • Desarrollo de la estrategia, implantándose hasta el final de todas las acciones previstas Pruebas y Mantenimiento • En esta fase se definen las pruebas, sus características, sus ciclos y se realiza la 1era prueba como comprobación de todo el trabajo realizado y mentalizar al personal implicado
  • 42. Fases de análisis y diseño  En la forma de desarrollar esta fase se diferencian las dos familias metodológicas: Risk Analisys se basa en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan Business Impact Se basa en el estudio del impacto (pérdida económica o de imagen) que ocasiona la falta de algún recurso de los que soporta la actividad del negocio
  • 43. Metodologías aplicables a la auditoría informática  Se encuentran 2 familias:  Auditorías de controles generales (Compañías auditoras profesionales que son una homologación de las mismas a nivel internacional)  Auditorías de los auditores internos
  • 44. El plan auditor informático  Es el esquema metodológico del auditor informático.  Las partes de un plan auditor informático deben ser al menos las siguientes:  Funciones  Procedimientos para las distintas áreas de auditoría  Tipos de auditorías que realiza  Sistema de evaluación y los distintos aspectos que evalúa  Nivel de exposición  Seguimiento de las acciones correctoras  Plan quinquenal  Plan de trabajo anual