Alumno
Páginas: 8 (1939 palabras)
Publicado: 26 de febrero de 2013
ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS
AUDITORIA DE SISTEMAS II
TRABAJO:
COMPILACIÓN BIBLIOGRÁFICA ESTÁNDARES Y DIRECTRICES DE AUDITORIA
PRESENTADO POR:
CHRISTIAN FELIPE MARTÍNEZ LÓPEZ CÓD. 0907035
MANIZALES, 23 DE MARZO DE 2010
ÍNDICE
INTRODUCCIÓN 3
HISTORIA Y EVOLUCIÓN 4
MARCO TEÓRICO 5
ANÁLISIS DE AS/NZ 4360, NIST SP800-34 Y NTC 5254 6
AS/NZ 4360 (PRINCIPAL) 6NIST SP 800-34 11
NTC 5254 12
CONCLUSIONES Y OBSERVACIONES 13
COMPARATIVO CON COBIT 14
BIBLIOGRAFÍA 15
INTRODUCCIÓN
En toda organización existen posibles daños que pueden alterar el funcionamiento normal de sus operaciones, la factibilidad de estos daños se mide a través del riesgo. Para contextualizar la temática a desarrollar, primero se va a dar una breve introducción al tema degestión del riesgo y algunos términos importantes.
Cuando se usa la expresión riesgo, se quiere tratar sobre la vulnerabilidad de un bien ante un potencial perjuicio o daño, este bien puede ser físico o intangible, tomando como ejemplo de un bien físico, a un edificio o equipos de cómputo y como bien intangible, la información importante, tal como cifras financieras. Es importante diferenciar elriesgo del peligro, el riesgo es la probabilidad de que ocurra un daño, en cambio, el peligro, es la probabilidad de que ocurra un suceso que conlleve a un daño. Continuando con el riesgo, existen varios tipos: Riesgo laboral, geológico, financiero, y biológico. Ahora, teniendo claros estos conceptos, es necesario saber que han existido distintas organizaciones y trabajos encargados de promovernormas y estándares para el manejo del riesgo (tales como INCONTEC, ANSI, ISO, COBIT, ITIL, entre otras), que permiten las empresas adaptar estos modelos para su funcionamiento y mejorar de procesos. A continuación se mostrara un análisis de algunos de estos estándares y normas. Tomando el contexto internacional y nacional.
HISTORIA Y EVOLUCIÓN
Como parte de los trabajos iniciales y másimportantes sobre gestión del riesgo, se crea a finales de los 90’s, el estándar australiano as/nz 4360, el cual permitía el establecimiento e implementación del proceso de administración de riesgos involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos. En un contexto más cercano, en el 2002 surge lasnorma NIST sp 800-34, como producto del trabajo entre el laboratorio de tecnologías de información y el instituto nacional de estándares y tecnología, ambos de Estados Unidos, esta norma proporciona instrucciones, recomendaciones y consideraciones para el gobierno de TI, permitiendo implementar medidas cautelares para recuperar los servicios de TI, después de una emergencia o interrupción delfuncionamiento de los sistemas. En el 2004 y adaptándose en nuestro contexto nacional surge la Norma Técnica Colombiana 5264, la cual acoge la gran mayoría de términos enmarcados en la as/nz 4360 y acentuándolos en el contexto Colombiano.
MARCO TEÓRICO
Riesgo
Es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan unpeligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre. Sin embargo los riesgos pueden reducirse o manejarse. Si somos cuidadosos en nuestra relación con el ambiente, y si estamos conscientes de nuestras debilidades y vulnerabilidades frente a las amenazas existentes, podemos tomar medidas para asegurarnos de que las amenazas no se conviertanen desastres.
Gestión del Riesgo
La gestión del riesgo no solo nos permite prevenir desastres. También nos ayuda a practicar lo que se conoce como desarrollo sostenible. El desarrollo es sostenible cuando la gente puede vivir bien, con salud y felicidad, sin dañar el ambiente o a otras personas a largo plazo. Por ejemplo, se puede ganar la vida por un tiempo cortando
árboles y...
AUDITORIA DE SISTEMAS II
TRABAJO:
COMPILACIÓN BIBLIOGRÁFICA ESTÁNDARES Y DIRECTRICES DE AUDITORIA
PRESENTADO POR:
CHRISTIAN FELIPE MARTÍNEZ LÓPEZ CÓD. 0907035
MANIZALES, 23 DE MARZO DE 2010
ÍNDICE
INTRODUCCIÓN 3
HISTORIA Y EVOLUCIÓN 4
MARCO TEÓRICO 5
ANÁLISIS DE AS/NZ 4360, NIST SP800-34 Y NTC 5254 6
AS/NZ 4360 (PRINCIPAL) 6NIST SP 800-34 11
NTC 5254 12
CONCLUSIONES Y OBSERVACIONES 13
COMPARATIVO CON COBIT 14
BIBLIOGRAFÍA 15
INTRODUCCIÓN
En toda organización existen posibles daños que pueden alterar el funcionamiento normal de sus operaciones, la factibilidad de estos daños se mide a través del riesgo. Para contextualizar la temática a desarrollar, primero se va a dar una breve introducción al tema degestión del riesgo y algunos términos importantes.
Cuando se usa la expresión riesgo, se quiere tratar sobre la vulnerabilidad de un bien ante un potencial perjuicio o daño, este bien puede ser físico o intangible, tomando como ejemplo de un bien físico, a un edificio o equipos de cómputo y como bien intangible, la información importante, tal como cifras financieras. Es importante diferenciar elriesgo del peligro, el riesgo es la probabilidad de que ocurra un daño, en cambio, el peligro, es la probabilidad de que ocurra un suceso que conlleve a un daño. Continuando con el riesgo, existen varios tipos: Riesgo laboral, geológico, financiero, y biológico. Ahora, teniendo claros estos conceptos, es necesario saber que han existido distintas organizaciones y trabajos encargados de promovernormas y estándares para el manejo del riesgo (tales como INCONTEC, ANSI, ISO, COBIT, ITIL, entre otras), que permiten las empresas adaptar estos modelos para su funcionamiento y mejorar de procesos. A continuación se mostrara un análisis de algunos de estos estándares y normas. Tomando el contexto internacional y nacional.
HISTORIA Y EVOLUCIÓN
Como parte de los trabajos iniciales y másimportantes sobre gestión del riesgo, se crea a finales de los 90’s, el estándar australiano as/nz 4360, el cual permitía el establecimiento e implementación del proceso de administración de riesgos involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos. En un contexto más cercano, en el 2002 surge lasnorma NIST sp 800-34, como producto del trabajo entre el laboratorio de tecnologías de información y el instituto nacional de estándares y tecnología, ambos de Estados Unidos, esta norma proporciona instrucciones, recomendaciones y consideraciones para el gobierno de TI, permitiendo implementar medidas cautelares para recuperar los servicios de TI, después de una emergencia o interrupción delfuncionamiento de los sistemas. En el 2004 y adaptándose en nuestro contexto nacional surge la Norma Técnica Colombiana 5264, la cual acoge la gran mayoría de términos enmarcados en la as/nz 4360 y acentuándolos en el contexto Colombiano.
MARCO TEÓRICO
Riesgo
Es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan unpeligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre. Sin embargo los riesgos pueden reducirse o manejarse. Si somos cuidadosos en nuestra relación con el ambiente, y si estamos conscientes de nuestras debilidades y vulnerabilidades frente a las amenazas existentes, podemos tomar medidas para asegurarnos de que las amenazas no se conviertanen desastres.
Gestión del Riesgo
La gestión del riesgo no solo nos permite prevenir desastres. También nos ayuda a practicar lo que se conoce como desarrollo sostenible. El desarrollo es sostenible cuando la gente puede vivir bien, con salud y felicidad, sin dañar el ambiente o a otras personas a largo plazo. Por ejemplo, se puede ganar la vida por un tiempo cortando
árboles y...
Leer documento completo
Regístrate para leer el documento completo.