Auditoria Informatica
Páginas: 16 (3779 palabras)
Publicado: 22 de septiembre de 2013
METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA INFORMÁTICA.
3.1 INTRODUCCIÓN A LAS METODOLOGÍAS.
La normativa
Debe definir de forma clara y precisa todo lo que debe existir y ser cumplido tanto desde el punto de vista conceptual como práctico, desde lo general a lo práctico. Debe inspirarse en estándares, políticas, marco jurídico, políticas y normas de empresa, experiencia ypráctica profesional.
La organización
La integran personas con funciones específicas y con actuaciones concretas, procedimientos definidos metodológicamente y aprobados por la dirección de la empresa.
Las metodologías
Son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordena y eficaz.
Los objetivos de control
Son los objetivos a cumplir en el control deprocesos.
Los procedimientos de control
Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control y por lo tanto deben estar documentados y aprobados por la dirección. “UNA HERRAMIENTA NUNCA ES UNA SOLUCCION SINO UNA AYUDA PARA CONSEGUIR UN CONTROL MEJOR”
Las herramientas de controlSon elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control.
3.2 Metodologías de evaluación de Sistemas
En el mundo de la seguridad de sistemas se utilizan todas las metodologías necesarias para realizar un plan de seguridad además de las de auditoria informática.
Las dos metodologías de evaluación de sistemas porantonomasia son las de análisis de riesgos y las de auditoria informática, con los enfoques distintos. La auditoría informática solo identifica el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de las mismas. AMENAZA, VULNERABILIDAD, RIESGOS, EXPOSICIÓN IMPACTO.
Las amenazasreales se presenta de forma compleja y son difíciles de predecir, ejemplo: por varias causas se rompen las dos entradas de agua, inundan las líneas telefónicas (pues existe un puro en el cable) hay un corto circuito y se quema el transformador de la central local.
Todos los riesgos que se representan podemos:
Evitarlos (ejemplo: no construir un centro donde hay peligro constante de inundaciones).Transferirlos (ejemplo: uso de un centro de cálculo contratado).
Reducirlos (ejemplo: sistemas de detección y extinción de incendios).
Asumirlos: que es lo que se hace si no se controla el riego en absoluto.
3.2.2 Tipos de metodologías
Se agrupan en dos grandes familias, están son:
Cuantitativas
Cualitativas
Metodologías cuantitativas
Diseñadas para producir una lista de riesgosque pueden compararse entre sí con facilidad por tener asignados unos valores numéricos.
Metodologías cualitativas/subjetivas
Basadas en métodos estadísticos y lógica borrosa (humana, no matemáticas) precisan de la involucración de un profesional experimento. Pero requieren menos recursos humanos/tiempo que las metodologías cuantitativas.
3.2.3 METODOLOGÍAS MÁS COMUNES
METODOLOGÍAS DEANÁLISIS DE RIESGOS
Están desarrolladas para la identificación de la falta de controles y el establecimiento de un plan de contramedidas. Existen dos tipos: las cuantitativas y las cualitativas, de las que existen gran cantidad de ambas clases y solo citaremos algunas de ellas.
De forma genérica las metodológicas existentes se diferencian en:
Si son cuantitativas o cualitativas, o sea si parael “qué pasa si…?” utilizan un modelo matemático o algún sistema cercano a la dirección subjetiva. Al aproximar las probabilidades por esperanzas matemáticas subjetivamente, las metodologías cuantitativas?
A demás se diferencian en el propio sistema de simulación.
MARION
Método documentado en dos libros de los cuales el más actual es la Securite des reseaux-Methodes et Techniques de...
METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA INFORMÁTICA.
3.1 INTRODUCCIÓN A LAS METODOLOGÍAS.
La normativa
Debe definir de forma clara y precisa todo lo que debe existir y ser cumplido tanto desde el punto de vista conceptual como práctico, desde lo general a lo práctico. Debe inspirarse en estándares, políticas, marco jurídico, políticas y normas de empresa, experiencia ypráctica profesional.
La organización
La integran personas con funciones específicas y con actuaciones concretas, procedimientos definidos metodológicamente y aprobados por la dirección de la empresa.
Las metodologías
Son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordena y eficaz.
Los objetivos de control
Son los objetivos a cumplir en el control deprocesos.
Los procedimientos de control
Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control y por lo tanto deben estar documentados y aprobados por la dirección. “UNA HERRAMIENTA NUNCA ES UNA SOLUCCION SINO UNA AYUDA PARA CONSEGUIR UN CONTROL MEJOR”
Las herramientas de controlSon elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control.
3.2 Metodologías de evaluación de Sistemas
En el mundo de la seguridad de sistemas se utilizan todas las metodologías necesarias para realizar un plan de seguridad además de las de auditoria informática.
Las dos metodologías de evaluación de sistemas porantonomasia son las de análisis de riesgos y las de auditoria informática, con los enfoques distintos. La auditoría informática solo identifica el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de las mismas. AMENAZA, VULNERABILIDAD, RIESGOS, EXPOSICIÓN IMPACTO.
Las amenazasreales se presenta de forma compleja y son difíciles de predecir, ejemplo: por varias causas se rompen las dos entradas de agua, inundan las líneas telefónicas (pues existe un puro en el cable) hay un corto circuito y se quema el transformador de la central local.
Todos los riesgos que se representan podemos:
Evitarlos (ejemplo: no construir un centro donde hay peligro constante de inundaciones).Transferirlos (ejemplo: uso de un centro de cálculo contratado).
Reducirlos (ejemplo: sistemas de detección y extinción de incendios).
Asumirlos: que es lo que se hace si no se controla el riego en absoluto.
3.2.2 Tipos de metodologías
Se agrupan en dos grandes familias, están son:
Cuantitativas
Cualitativas
Metodologías cuantitativas
Diseñadas para producir una lista de riesgosque pueden compararse entre sí con facilidad por tener asignados unos valores numéricos.
Metodologías cualitativas/subjetivas
Basadas en métodos estadísticos y lógica borrosa (humana, no matemáticas) precisan de la involucración de un profesional experimento. Pero requieren menos recursos humanos/tiempo que las metodologías cuantitativas.
3.2.3 METODOLOGÍAS MÁS COMUNES
METODOLOGÍAS DEANÁLISIS DE RIESGOS
Están desarrolladas para la identificación de la falta de controles y el establecimiento de un plan de contramedidas. Existen dos tipos: las cuantitativas y las cualitativas, de las que existen gran cantidad de ambas clases y solo citaremos algunas de ellas.
De forma genérica las metodológicas existentes se diferencian en:
Si son cuantitativas o cualitativas, o sea si parael “qué pasa si…?” utilizan un modelo matemático o algún sistema cercano a la dirección subjetiva. Al aproximar las probabilidades por esperanzas matemáticas subjetivamente, las metodologías cuantitativas?
A demás se diferencian en el propio sistema de simulación.
MARION
Método documentado en dos libros de los cuales el más actual es la Securite des reseaux-Methodes et Techniques de...
Leer documento completo
Regístrate para leer el documento completo.