Glosario de términos de auditoría
Páginas: 17 (4121 palabras)
Publicado: 16 de septiembre de 2010
GLOSARIO
ACEPTAR EL RIESGO: Es uno de los métodos más comunes de manejar el riesgo, es la decisión de aceptar las consecuencias de la ocurrencia del evento.
ACTIVIDADES DE CONTROL: Según COSO, hace referencia a los controles que realmente existen para minimizar los riesgos que enfrenta la empresa.
ACTIVOS: Según Magerit, son los recursos del sistema de información o relacionados conéste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.
Activo: En relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC 13335-1:2004]: Cualquier cosa que tiene valor para la organización.
ADMINISTRACIÓNDEL RIESGO: según David McNamee, es un proceso que asegura la sensibilidad para detectar el riesgo, la flexibilidad para responder al riesgo, y la capacidad de recursos para mitigar los riesgos.
ADQUISICIÓN E IMPLEMENTACIÓN: Dominio de COBIT el cual, para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas eintegradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
AMBIENTE DE CONTROL: Según COSO, hace referencia a la cultura corporativa de control que debe existir en una organización.
AMENAZA: (1) Es un factor del medio ambiente externo que puede ocasionar una falla en el desempeño futuro de las organizaciones. (2) SegúnMagerit, se definen como los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Las Amenazas se pueden materializar y transformarse en agresiones.
Amenaza: Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.
ANÁLISIS DOFA: Este tipode análisis examina la interacción entre las características particulares de la organización y el medio ambiente en el cual se desenvuelve.
Análisis de riesgos: Risk analysis. Según [ISO/IEC Guía 73:2002]: Uso sistemático de la información para identificar fuentes y estimar el riesgo.
Análisis de riesgos cualitativo: Qualitative risk analysis. Análisis de riesgos en el que se usa una escalade puntuaciones para situar la gravedad del impacto.
Análisis de riesgos cuantitativo: Quantitative risk analysis. Análisis de riesgos en función de las pérdidas financieras que causaría el impacto.
Auditoría: Proceso planificado y sistemático en el cual un auditor obtiene evidencias objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de unaorganización.
Autenticación: Authentication. Proceso que tiene por objetivo asegurar la identificación de una persona o sistema.
BS7799: Estándar británico de seguridad de la información, publicado por primera vez en 1995. En 1998, fue publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para la gestión de la seguridad de la información -no es certificable- y la partesegunda especifica el sistema de gestión de seguridad de la información -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de estos últimos.
BSI: British Standards Institution. Comparable al AENOR español, es la Organización que ha publicado la serie de normas BS 7799, además de otrosvarios miles de normas de muy diferentes ámbitos.
Plan de continuidad del negocio: Bussines Continuity Plan). Plan orientado a permitir la continuación de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en peligro.
CIA: Acrónimo inglés de confidencialidad, integridad y disponibilidad, los parámetros básicos de la seguridad de la información.
CID:...
ACEPTAR EL RIESGO: Es uno de los métodos más comunes de manejar el riesgo, es la decisión de aceptar las consecuencias de la ocurrencia del evento.
ACTIVIDADES DE CONTROL: Según COSO, hace referencia a los controles que realmente existen para minimizar los riesgos que enfrenta la empresa.
ACTIVOS: Según Magerit, son los recursos del sistema de información o relacionados conéste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.
Activo: En relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC 13335-1:2004]: Cualquier cosa que tiene valor para la organización.
ADMINISTRACIÓNDEL RIESGO: según David McNamee, es un proceso que asegura la sensibilidad para detectar el riesgo, la flexibilidad para responder al riesgo, y la capacidad de recursos para mitigar los riesgos.
ADQUISICIÓN E IMPLEMENTACIÓN: Dominio de COBIT el cual, para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas eintegradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
AMBIENTE DE CONTROL: Según COSO, hace referencia a la cultura corporativa de control que debe existir en una organización.
AMENAZA: (1) Es un factor del medio ambiente externo que puede ocasionar una falla en el desempeño futuro de las organizaciones. (2) SegúnMagerit, se definen como los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Las Amenazas se pueden materializar y transformarse en agresiones.
Amenaza: Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.
ANÁLISIS DOFA: Este tipode análisis examina la interacción entre las características particulares de la organización y el medio ambiente en el cual se desenvuelve.
Análisis de riesgos: Risk analysis. Según [ISO/IEC Guía 73:2002]: Uso sistemático de la información para identificar fuentes y estimar el riesgo.
Análisis de riesgos cualitativo: Qualitative risk analysis. Análisis de riesgos en el que se usa una escalade puntuaciones para situar la gravedad del impacto.
Análisis de riesgos cuantitativo: Quantitative risk analysis. Análisis de riesgos en función de las pérdidas financieras que causaría el impacto.
Auditoría: Proceso planificado y sistemático en el cual un auditor obtiene evidencias objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de unaorganización.
Autenticación: Authentication. Proceso que tiene por objetivo asegurar la identificación de una persona o sistema.
BS7799: Estándar británico de seguridad de la información, publicado por primera vez en 1995. En 1998, fue publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para la gestión de la seguridad de la información -no es certificable- y la partesegunda especifica el sistema de gestión de seguridad de la información -es certificable-. La parte primera es el origen de ISO 17799 e ISO 27002 y la parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya, por la aparición de estos últimos.
BSI: British Standards Institution. Comparable al AENOR español, es la Organización que ha publicado la serie de normas BS 7799, además de otrosvarios miles de normas de muy diferentes ámbitos.
Plan de continuidad del negocio: Bussines Continuity Plan). Plan orientado a permitir la continuación de las principales funciones del negocio en el caso de un evento imprevisto que las ponga en peligro.
CIA: Acrónimo inglés de confidencialidad, integridad y disponibilidad, los parámetros básicos de la seguridad de la información.
CID:...
Leer documento completo
Regístrate para leer el documento completo.